【摘 要】本文結(jié)合對應(yīng)用系統(tǒng)設(shè)計(jì)、開發(fā)、測試、測評等建設(shè)過程的分析,總結(jié)了外包應(yīng)用系統(tǒng)開發(fā)中存在的安全保密風(fēng)險(xiǎn),并根據(jù)應(yīng)用系統(tǒng)安全建設(shè)和測評經(jīng)驗(yàn),結(jié)合安全開發(fā)生命周期等安全開發(fā)管理理念,研究了應(yīng)用系統(tǒng)外包開發(fā)中源代碼安全風(fēng)險(xiǎn)管控技術(shù)和策略,以期從源頭減少應(yīng)用系統(tǒng)自身安全漏洞和風(fēng)險(xiǎn),提升信息系統(tǒng)安全防御水平。
【關(guān)鍵詞】應(yīng)用系統(tǒng) 外包開發(fā) 安全保密風(fēng)險(xiǎn)
1 引言
應(yīng)用系統(tǒng)是信息系統(tǒng)中信息分發(fā)、傳遞、共享的主要工具,同時(shí)是業(yè)務(wù)管理的數(shù)字化基本設(shè)施,在信息網(wǎng)絡(luò)中處于信息傳遞的核心。隨著企業(yè)數(shù)字化轉(zhuǎn)型的不斷推進(jìn),各單位為滿足各種業(yè)務(wù)需要建設(shè)了各類業(yè)務(wù)應(yīng)用系統(tǒng),如財(cái)務(wù)系統(tǒng)、人力管理系統(tǒng)、項(xiàng)目管理系統(tǒng)等。但由于應(yīng)用系統(tǒng)開發(fā)建設(shè)具有專業(yè)性、復(fù)雜性,一般需要專業(yè)的軟件開發(fā)團(tuán)隊(duì)進(jìn)行建設(shè),而大部分單位不具備自行開發(fā)應(yīng)用系統(tǒng)的能力,應(yīng)用系統(tǒng)外包開發(fā)成為主流的建設(shè)方式。隨著網(wǎng)絡(luò)攻防技術(shù)的發(fā)展,越來越多的安全漏洞在各類應(yīng)用系統(tǒng)中被發(fā)現(xiàn),根據(jù)Forrester調(diào)研,僅Web類安全漏洞就占2021年發(fā)現(xiàn)安全漏洞的39%,由此可見應(yīng)用系統(tǒng)已成為網(wǎng)絡(luò)攻防雙方的主戰(zhàn)場之一。因此,如何管控外包開發(fā)應(yīng)用系統(tǒng)源代碼安全漏洞,從根本上有效減少安全漏洞,保障應(yīng)用系統(tǒng)安全成為各單位信息化和網(wǎng)絡(luò)安全管理部門面臨的重要議題。
2 外包開發(fā)中的源代碼安全風(fēng)險(xiǎn)分析
在對外包應(yīng)用系統(tǒng)進(jìn)行測評的過程中,存在以下風(fēng)險(xiǎn)。
(1)現(xiàn)行相關(guān)標(biāo)準(zhǔn)對安全要求較高,但對開發(fā)廠商的安全開發(fā)能力、開發(fā)質(zhì)量缺少直觀的考核和選擇指標(biāo),導(dǎo)致部分開發(fā)廠商不注重安全開發(fā)能力的建設(shè)和開發(fā)質(zhì)量的提升,一些應(yīng)用系統(tǒng)的開發(fā)過程管理混亂,缺少源代碼安全的管理與技術(shù)措施,甚至在互聯(lián)網(wǎng)中開展代碼管理,極易引入安全風(fēng)險(xiǎn),部分應(yīng)用系統(tǒng)安全質(zhì)量沒有保障。
(2)在編程實(shí)現(xiàn)階段,隨著開發(fā)技術(shù)的迅猛發(fā)展,部分中小廠商或建設(shè)使用單位為追求新技術(shù)應(yīng)用,開發(fā)中大量采用未經(jīng)安全檢測的開源框架、開源組件等第三方代碼進(jìn)行快速迭代開發(fā),對使用了哪些開源組件或開源組件的哪個(gè)版本并不了解。建設(shè)使用單位對使用開源組件、開源代碼的情況缺少要求和限制,給應(yīng)用系統(tǒng)帶來不可控的安全風(fēng)險(xiǎn)。
(3)在驗(yàn)收和上線運(yùn)行階段,建設(shè)使用單位主要對應(yīng)用系統(tǒng)業(yè)務(wù)功能進(jìn)行測試驗(yàn)收,缺少對源代碼安全漏洞、業(yè)務(wù)邏輯漏洞等的安全性測試,缺少開發(fā)人員參與的安全加固,往往不知道是否存在安全漏洞,對已發(fā)現(xiàn)的安全漏洞不知如何修復(fù),導(dǎo)致應(yīng)用系統(tǒng)“帶病上線”“帶病運(yùn)行”。
3 對外包開發(fā)的安全風(fēng)險(xiǎn)管控措施實(shí)踐
為保障應(yīng)用系統(tǒng)源代碼安全質(zhì)量,微軟提出從安全管理角度指導(dǎo)應(yīng)用系統(tǒng)開發(fā)過程的安全開發(fā)生命周期(Security Development Lifecycle,SDL)理念,經(jīng)過世界主流廠商多年實(shí)踐和不斷改進(jìn),發(fā)展成為安全—軟件開發(fā)生命周期(Secure Software Development Lifecycle,S-SDLC)等方法論,其理念是將安全與軟件開發(fā)全過程融合,通過在軟件開發(fā)生命周期中每個(gè)階段執(zhí)行必要的安全實(shí)踐,使安全風(fēng)險(xiǎn)最小化、安全威脅最少化。SDL的實(shí)施在一定程度上降低了發(fā)布運(yùn)行后安全漏洞的數(shù)量,被各大軟件廠商廣泛采用。
但是,SDL、開發(fā)安全運(yùn)維一體化(DevSecOps)等安全開發(fā)理念都主要是針對開發(fā)廠商的實(shí)施或?qū)嵺`方法,對應(yīng)用系統(tǒng)建設(shè)使用的甲方單位,特別是在外包開發(fā)的場景下,甲方單位也迫切需要介入整個(gè)安全開發(fā)過程中。本文利用SDL安全開發(fā)理念,從建設(shè)使用單位的角度,針對外包開發(fā)全流程進(jìn)行代碼安全管控策略設(shè)計(jì)和技術(shù)保障措施研究,通過參與關(guān)鍵流程活動(dòng),協(xié)助開發(fā)出既符合安全要求又盡可能減少網(wǎng)絡(luò)安全漏洞的應(yīng)用系統(tǒng)。本文設(shè)計(jì)的建設(shè)使用單位針對外包開發(fā)過程中的安全實(shí)踐措施和策略架構(gòu)如圖1所示。
圖1 外包開發(fā)過程中的安全實(shí)踐措施和策略架構(gòu)
3.1 加強(qiáng)開發(fā)廠商的選擇與安全培訓(xùn)
外包應(yīng)用系統(tǒng)開發(fā)時(shí),在廠商具有相應(yīng)資質(zhì)的基礎(chǔ)上,建議應(yīng)用系統(tǒng)開發(fā)管理的業(yè)務(wù)部門優(yōu)先選擇軟件開發(fā)質(zhì)量保障能力等級較高的企業(yè),利用其更為規(guī)范的過程管理、版本管控、漏洞管理等制度和技術(shù)措施提高應(yīng)用系統(tǒng)開發(fā)質(zhì)量。
建設(shè)使用單位組織或參與開發(fā)廠商統(tǒng)一舉行的安全防范意識(shí)培訓(xùn),對系統(tǒng)設(shè)計(jì)、開發(fā)、部署、售后、運(yùn)維和業(yè)務(wù)使用等各類人員進(jìn)行必要的安全培訓(xùn)或再培訓(xùn),宣傳法律法規(guī)和標(biāo)準(zhǔn)知識(shí)、網(wǎng)絡(luò)安全防范技能,建立常見安全漏洞的源代碼防范措施、范例、框架,幫助相關(guān)人員特別是設(shè)計(jì)、開發(fā)人員提升安全開發(fā)能力。
3.2 開展安全保密風(fēng)險(xiǎn)分析
建設(shè)使用單位的業(yè)務(wù)使用人員、安全保密人員介入業(yè)務(wù)安全需求分析,和開發(fā)人員結(jié)合安全標(biāo)準(zhǔn)規(guī)范,從安全標(biāo)準(zhǔn)和最佳實(shí)踐2個(gè)方面分析得出業(yè)務(wù)功能所需安全防護(hù)要求。安全需求分析工作的主要目的是為應(yīng)用程序設(shè)計(jì)在計(jì)劃運(yùn)行環(huán)境中的運(yùn)行確定最低安全要求。同時(shí),在需求分析文檔中包括安全保密協(xié)議相關(guān)內(nèi)容:加強(qiáng)源代碼安全管理,防止因源代碼泄露、安全防范意識(shí)不足可能造成的安全風(fēng)險(xiǎn),預(yù)防安全漏洞、后門;禁止應(yīng)用系統(tǒng)開發(fā)相關(guān)文檔、源代碼等傳輸?shù)交ヂ?lián)網(wǎng);禁止預(yù)置和保留隱藏的管理員賬號、開發(fā)者賬號、測試賬號;禁止預(yù)置遠(yuǎn)程管理后門、遠(yuǎn)程升級后門、廣告推廣、漏洞和非授權(quán)的數(shù)據(jù)收集、傳輸?shù)葠阂夤δ堋?/p>
3.3 強(qiáng)化安全防護(hù)功能設(shè)計(jì)與編碼
建設(shè)使用單位的安全保密人員介入系統(tǒng)的安全設(shè)計(jì)階段,與開發(fā)人員一起,根據(jù)業(yè)務(wù)安全需求分析,制定安全控制和防護(hù)措施,減小攻擊面,防范常見安全漏洞、安全攻擊方式,抵御或降低安全威脅。安全設(shè)計(jì)實(shí)踐包括特權(quán)分離、數(shù)據(jù)驗(yàn)證、認(rèn)證管理、會(huì)話管理、授權(quán)管理、日志審計(jì)、異常處理、配置管理、數(shù)據(jù)保護(hù)等安全功能設(shè)計(jì),也包括對結(jié)構(gòu)化查詢語言(SQL)注入、反序列化、權(quán)限提升、文件上傳、任意文件下載等安全漏洞的防范功能設(shè)計(jì)。編碼實(shí)現(xiàn)時(shí),需要考慮將要使用的開源代碼、組件、模塊、庫和框架的安全性,禁止使用存在安全風(fēng)險(xiǎn)的軟件成分。
存量應(yīng)用系統(tǒng)新增功能、系統(tǒng)升級也需要編制新增功能部分的安全設(shè)計(jì)方案,對新增功能的安全威脅、安全功能設(shè)計(jì)和對原應(yīng)用系統(tǒng)安全功能的影響進(jìn)行深入分析。
3.4 完善代碼安全測試與驗(yàn)收
建設(shè)使用單位在對應(yīng)用系統(tǒng)業(yè)務(wù)功能進(jìn)行驗(yàn)收測試時(shí),先由業(yè)務(wù)使用團(tuán)隊(duì)和安全保密團(tuán)隊(duì)開展安全功能合規(guī)性測試,根據(jù)業(yè)務(wù)功能、安全要求設(shè)計(jì)安全測試用例進(jìn)行測試,測試用例需要涵蓋安全需求、安全設(shè)計(jì)中各項(xiàng)功能。
在安全功能測試基礎(chǔ)上,建設(shè)使用單位安全團(tuán)隊(duì)?wèi)?yīng)開展源代碼安全性測試,從源頭把控應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)。源代碼安全性測試一般采用自動(dòng)化工具來降低人工檢測的時(shí)間消耗和成本投入,提高檢測效率,常見工具包括靜態(tài)安全測試(SAST)、動(dòng)態(tài)安全測試(DAST)、交互式安全測試(IAST)、模糊測試(FUZZ)和軟件成分分析(SCA)幾類技術(shù)。根據(jù)經(jīng)驗(yàn),建議配備交互式安全測試IAST工具和軟件成分分析SCA工具。IAST技術(shù)融合了SAST技術(shù)和DAST技術(shù)的特征,通過在應(yīng)用系統(tǒng)中部署測試插樁,分析應(yīng)用系統(tǒng)運(yùn)行時(shí)的源代碼,檢查業(yè)務(wù)數(shù)據(jù)傳播路徑,分析數(shù)據(jù)傳播過程中的各功能代碼的處理措施,根據(jù)已知安全漏洞發(fā)生的數(shù)據(jù)處理模式、發(fā)生場景分析可能存在的安全風(fēng)險(xiǎn),在完成功能測試的同時(shí)自動(dòng)開展并完成源代碼層的安全性分析測試。相較于SAST、DAST和FUZZ,IAST測試工具具有對測試人員安全技能要求低、測試結(jié)果準(zhǔn)確性高、測試過程速度快的優(yōu)勢,特別適合建設(shè)使用單位業(yè)務(wù)使用團(tuán)隊(duì)和安全團(tuán)隊(duì)等非專業(yè)開發(fā)人員用于開展源代碼安全性測試。
為應(yīng)對開源組件、開源代碼引入的安全風(fēng)險(xiǎn),SCA工具掃描分析應(yīng)用系統(tǒng)的源代碼和使用的模塊、庫、框架、程序包等代碼文件,提取代碼指令、代碼結(jié)構(gòu)、控制流圖、函數(shù)調(diào)用關(guān)系等特征,再對特征進(jìn)行識(shí)別和分析,獲得各個(gè)部分的關(guān)系,然后根據(jù)已知的安全漏洞特征庫、威脅情報(bào)庫,識(shí)別可能潛藏的、存在的安全風(fēng)險(xiǎn),避免開源代碼、庫、模塊的使用引入安全漏洞。
3.5 開展安全上線
應(yīng)用系統(tǒng)上線試運(yùn)行時(shí),安全保密團(tuán)隊(duì)?wèi)?yīng)會(huì)同開發(fā)團(tuán)隊(duì)開展安全配置加固,先梳理業(yè)務(wù)應(yīng)用系統(tǒng)使用的運(yùn)行環(huán)境、語言環(huán)境、開源組件等,并建立系統(tǒng)成分清單,清單包括但不限于操作系統(tǒng)、數(shù)據(jù)庫、運(yùn)行中間件、運(yùn)行容器及編排管理與調(diào)度組件、大數(shù)據(jù)組件、人工智能組件、開發(fā)框架、消息系統(tǒng)組件、數(shù)據(jù)庫連接和管理組件、語言運(yùn)行庫、外部函數(shù)庫/組件、開源組件等代碼運(yùn)行組件清單,詳細(xì)記錄各項(xiàng)名稱、版本號,便于開展零日(0Day)漏洞預(yù)警排查和漏洞檢測與應(yīng)急響應(yīng)。
應(yīng)用系統(tǒng)完成部署后,建設(shè)單位定期利用漏洞掃描工具進(jìn)行安全漏洞檢測,或開展人工滲透測試發(fā)掘潛在漏洞,對發(fā)現(xiàn)的源代碼缺陷導(dǎo)致的安全漏洞通知開發(fā)人員核實(shí)整改漏洞。加強(qiáng)應(yīng)用系統(tǒng)升級管理,在大版本、小版本升級和應(yīng)用系統(tǒng)間集成、漏洞修復(fù)等工作后,按照以上安全需求分析、安全設(shè)計(jì)與編碼、安全測試的過程對變更部分源代碼進(jìn)行安全分析和測試,必要時(shí)對應(yīng)用系統(tǒng)整體重新進(jìn)行安全測試。
4 結(jié)語
應(yīng)用系統(tǒng)在供應(yīng)鏈、安全設(shè)計(jì)、代碼編程實(shí)現(xiàn)、上線運(yùn)行等全生命周期中面臨各種各樣的風(fēng)險(xiǎn),只有加強(qiáng)應(yīng)用系統(tǒng)源代碼安全管控,才能從源頭解決應(yīng)用系統(tǒng)自身面臨的安全風(fēng)險(xiǎn)。本文從建設(shè)使用單位的角度,研究應(yīng)用系統(tǒng)外包開發(fā)建設(shè)中的源代碼安全防護(hù)技術(shù),針對安全需求分析、安全設(shè)計(jì)與實(shí)現(xiàn)、安全測試、升級管控等各階段設(shè)計(jì)源代碼管控策略和措施,有助于減少應(yīng)用系統(tǒng)建設(shè)過程中源代碼引入的安全風(fēng)險(xiǎn),提升應(yīng)用系統(tǒng)的安全防護(hù)水平。同時(shí),該實(shí)踐經(jīng)驗(yàn)對應(yīng)用系統(tǒng)自行開發(fā)、開源產(chǎn)品自行部署、商業(yè)產(chǎn)品購置實(shí)施等情形具有一定借鑒意義。
(原載于《保密科學(xué)技術(shù)》雜志2023年2月刊)
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除。