引言
近日,寰球网络安全行业翻新风向标 RSAC 翻新沙盒颁布了本年度入围十强的名单,软件供应链平安企业 Endor Labs 凭借基于依赖关系建设利用开发生命周期的解决方案取得了宽泛关注。
Endor Labs 简介
Endor Labs 成立于 2021 年,是一家专一供应链平安治理的美国公司,并于去年十月取得了 2500 万美元种子轮投资。在开源软件大行其道、软件供应链安全事件频发的背景下,Endor Labs 基于 SCA 倒退出了独具一格的“依赖生命周期治理”解决方案,其合作伙伴与商业客户中不乏 Microsoft、Google、Uber、Zoom、Atlassian 等知名企业。
依赖生命周期治理
传统 SCA 工具的外围性能是对代码中引入的开源组件及它们的依赖关系进行盘点,造成 SBOM 清单,并在此基础上把握代码中所有由开源组件依赖带来的破绽危险。
在研发经营的整个周期中,有了这份透明化的资产清单,研发阶段能够及时替换平安版本的组件或修复破绽,经营阶段新的破绽暴发或呈现新的利用形式时可能按图索骥,疾速定位破绽地位及影响范畴,帮助制订更高效正当的修复计划。
然而,作为一种绝对简略且容易落地的平安工具,SCA 工具也有其局限性。首先,SCA 仅能基于已有的知识库进行危险梳理,也即只能检测已知开源破绽;其次,SCA 基于规范的破绽库提供的破绽危险等级并不能齐全适配代码理论运行的场景,所以会导致局部并不会理论被触发的危险呈现在 SCA 工具输入的破绽危险中,须要人工加以判断。
为了解决上述已知场景的局限和“乐音”带来的额定老本,Endor labs 以依赖关系为核心,建设起了一整套依赖生命周期管理体系。
第一阶段,在依赖引入前,能够在 Endor Labs 的知识库里查问由组件的品质、受欢迎水平、最佳工夫应用、支持性和其余指标组成的整体危险评分,综合判断是否引入该组件。
依赖引入后,Endor Labs 的工具会梳理代码中蕴含的所有的依赖状况并输入可视化的 SBOM 清单,同时会统计单个依赖被引入的次数,记录组织中最罕用的依赖版本,便于缩小依赖项的总量、管制依赖面。
对所有引入的依赖执行破绽检测后,工具会对这些依赖进行可达性剖析,即剖析该依赖是否会在程序运行中被理论调用,并由此代替破绽严重性的指标,产生对应破绽修复的优先级倡议,升高开源破绽的“乐音”。
最初,思考到随着软件我的项目推动越来越收缩的依赖清单,对于长期未应用及冗余的依赖项,工具还能够提供删除倡议,精简依赖资产、防止依赖收缩。
对于平安团队,Endor Labs 的解决方案能够帮助团队建设起对依赖关系的全面理解,同时打消大量“乐音”,升高甄别老本,同时反对对本身和第三方的 SBOM 治理;对于开发团队,能够帮助做出更好的依赖引入抉择,同时取得更正当的破绽修复优先级,进而实现平安的无痛嵌入。
另外,Endor Labs 的产品还接入了 ChatGPT,反对以对话模式提供相应的开源组件引入倡议(含危险评分),以便帮忙用户抉择更优的开源软件。目前该性能尚在内测阶段。
更进一步:未知破绽进攻
Endor Labs 的计划对“乐音”的解决方案的确有独到之处,但对 SCA 工具只能解决已知破绽这个天花板的拓展依然绝对无限:在引入前通过对知识库中所有组件进行多维危险评分帮助引入决策实质上依然是对已知资源的再整合,于效率可能也并有益处。
在 SBOM 的根底上,解决上线后经营阶段的平安问题、实现平安研发和经营的闭环,不能仅仅局限于单个的 SCA 工具,而须要与其余更适配继续经营场景的工具联合,造成整体联动的解决方案。
首先,应用 SCA 输入 SBOM 是必不可少的。“乐音”的管制伎俩多种多样,可达性剖析、运行态 SCA、黑白名单治理都是可选的计划。
下一步,须要多渠道收集开源破绽情报,实时监控利用代码的开源危险,并依据 SBOM 进行危险自查,联合业务环境评估修复优先级,依据利用版本打算自行安排修复节奏。
此外,继续平安经营的实现离不开 RASP(运行时程序自我爱护)技术。RASP 能联合利用的逻辑及上下文,以函数级的精度对拜访利用零碎的每一段代码进行检测,实时监控平安情况、记录及阻断攻打,而无需人工干预。
对于尚无新版本组件可替换或不便降级组件的开源破绽以及忽然暴发的 0day 破绽,RASP 能够通过下发热补丁的形式,在不批改源码的状况下对攻打和歹意申请进行辨认和阻断,实现对未知平安危险的及时治理,为审慎的破绽修复争取宝贵时间。
OpenSCA+ 云鲨 RASP SaaS 为集体及企业用户提供 0 老本利用平安爱护计划,帮助搭建利用平安研运闭环,将踊跃防御能力注入利用中,实现利用平安自免疫;同时提供商业版,提供更残缺的场景适配能力,欢送分割咱们。
云鲨 RASP 官网:
https://rasp.xmirror.cn/