最近听说某大厂安全部被领导怒批
安全工具买了!钱花了!开源治理效果呢?
那么这个中间是发生了什么呢?
随着金融行业面临的监管要求越来越高,某金融企业花高价“引进”国外某SCA软件成分分析工具,并要求安全部进行安全保障工作。本以为“万事俱备,只欠东风”的东风来了,接下来就按部就班进行代码检查,报告输出、漏洞问题跟进即可。可是“理想很丰满,现实很骨感” ,经过近1年的使用,整体治理效果远不如预期,成效不足10%。
为什么会发生这样的情况呢?
这里就不得不心疼一下安全人员
基于种种,虽然企业引入SCA工具
但是在落地效果层面
并没有给企业带来多大价值
反而让安全人员更加“负重前行”
那么作为安全人员应该如何推动开源治理工作呢?
首先,我们先了解下开源组件在企业侧的生命周期
了解完毕后,我们可以从以下的方向去进行相关工作。
第一步:统一思想,名正言顺
统一思想可以有效避免跨部门配合不通畅等问题,在开展之初就需要对管理者、研发、测试、运维、安全等相关干系人进行思想统一,权责明确,避免后期“名不正”“言不顺”的情况。
第二步:建立目标,明确流程
建立目标是重中之重,安全人员需要以目标为导向,实践中,阶段性的里程碑可以有效保障团队的良性实践。同时企业内部也要搭建开源引入、使用、退出等管理办法。
第三步:摸清家底,分级分类
安全人员要对源码、制品、镜像、私服等企业侧相关生产资料进行整体分类分级和集中分析,深入了解企业开源现状,对企业现状进行分类汇总,配合目标,构建清晰的开源治理执行路径。
第四步:自动流程,解放人力
建立SCA工具与软件生命周期中各个环节的联动性,包括代码仓库平台、持续集成平台、缺陷或者工单管理平台、统一身份认证平台、邮件系统等,将工具链接自动化,融入SCA工具,实现流程闭环。
第五步:安全监控,有序退出
安全监控需贯穿整个治理过程,安全人员要以专业的角度融入到治理流程中,对各个环节进行风险预警、风险管控、风险处理、风险决策。在不影响企业的生产情况下,开源不良资产实现有序退出。
结合上述情况,有没有一款产品可以解决安全人的开源烦恼呢?
开源网安的一款产品,可以将企业侧开源使用周期和软件研发生命周期高度融合,从流程、检测、管理等多维度视角解决企业开源管控问题。
使用平台后,开源治理成效将获得大幅提升,真正降低成本,增强研发效能。
那么让我们介绍下,SourceCheck一站式开源治理工具平台吧!
开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析(SCA)产品,用于第三方组件的安全分析与管控,包括企业组件使用管理、组件使用合规审计、新漏洞感知预警、开源代码知识产权审计等,可实现对源码与制品的精准分析,是帮助企业实现开源风险治理的理想工具。