风险管理实践-对接组件库-安全管控流程

引入管理

1、从0到1：

最初全量扫描 有风险的原则上全部出库。若风险组件为项目必须使用，项目组提交组件入库申请，或者 逐步推广 控增量、清存量，严格控制新增、对存量的限制固定时间内限期整改。

2、组件扫描：

入库、大版本全量扫描

3、入库申请：

开发申请工单，申请组件入库

安全/质量部门管理，将工单申请的组件包下载后，进行病毒扫描，病毒扫描没问题以后会放到测试网。

4、卡点要求：

组件如果包含严重或高危漏洞的，是必须排除、并且是阻断这种组件上传私仓，或从私仓中下载至本地的。（或者提交 限制级组件使用申请 及 规避措施）

企业内部 可列 组件、许可黑名单、白名单（导出nexus组件清单之后 用组件工具扫描 排除风险 保留一个或者几个可选版本 后期申请准入 再加进来）

对于黑名单的都是严禁使用的。一般黑名单管控，或者是涉及到一些商业协议，就会要求禁止使用。

5、入库组件有风险 又必须使用：

项目负责人 申请，填写限制级组件使用申请、整改计划和规避措施，安全、质量部门 审批后，可在组件仓库中单独授权给该团队使用。

申请制度，每个公司情况不同，酌情指定，主要可参考两种形式：报备制、申请制，如字面意思，一种是只要报备即可一种是需要采用有效的规避措施、审核通过后方可使用，工作量较大。

6、限制级组件使用申请

服务内容填写说明:

（1)限制级组件定义:不建议使用组件，全员默认无权下载，对于已使用团队，需提交限制级组件申请，且使用团队需独立承担所引发的风险后果。

（2) 限制级组件申请原因及组件数量

（3)请填写下方限制级组件信息表格内容

限制级组件信息: 所属、限制级组件坐标 (必) 、漏洞等级 (必) 、使用说明(必)、整改计划(必) 、规避措施(必)、团队账号 (必) 、联系人(必)、联系人电话 (必)、备注

能力完善的话，可以整理一个台账，提供风险组件版本对应的防护措施，提升风险组件修复效率。

安全使用管理：

企业所有的开源软件和容器镜象必须从开源治理平台中获取

严禁私自使用尚未引入的开源软件。

定期通过安全工具进行安全扫描，一旦发现私自下载使用的开源软件，将通报整改。

1.1 组件工具 自带阻断功能：

提供组件库的插件，安装插件后，这些违规操作都会被记录

SCA能够对组件库进行手动/定期扫描；然后对违规的上传/下载操作进行阻断，并生成阻断记录日志

能够定位到违规操作的ip、时间、操作人员等等

往组件库里上传组件，或者从组件库下载组件至本地。这两种操作 都会进过SCA插件扫描，然后对违规的操作直接阻断

1.2 审查项目开发所用的组件，是否在私服仓库引用

主要是为了管控开发，不让他们绕过企业组件库，私自下载

企业所有的开源软件和容器镜象必须从开源治理平台中获取

严禁私自使用尚未引入的开源软件。

SCA是本地部署的，系统配置中已配置了企业内部组件库，那么SCA分析在编译时就是基于这个组件库的。如果开发是私自引入的组件，组件库中没有这个组件，那么SCA扫描结果里，这个私自引入的组件就是不完全识别。因为无法在组件库中匹配到

确认组件不是完全识别，然后判断是否是因为与组件库无法匹配。是，则给组件增加标识，非组件库来源。提示安全人员，该组件非企业内部的组件库