直播回放 周幸：开源治理实践如何实现自动化和智能化落地（六）

直播回放 | 周幸：开源治理实践如何实现自动化和智能化落地（六）

四、自动化智能化落地实践

最后简单介绍一下自动化和智能化的开源治理落地实践。这是悬镜安全在结合某家企业自有的DevOps前提下，形成的DevSecOps开源治理体系，覆盖编码和CI/CD等阶段，在引入、使用等相关阶段集合引擎进行相关组件安全质量控制。

整个体系可以分三层。上面这层是不同人员的介入，包括项目经理、研发经理、测试人员、运维人员。中间这层就是软件开发生命周期，包括需求下达、进入研发、触发构建、提交测试、提交预发布以及提交发布这些不同阶段。下面这层就是相应的开源安全工具能力的嵌入。

在整个开源治理过程中，也是以工具引入为抓手，把工具能力嵌入现有的流程，并解决了三个问题。

第一个问题就是在引入环节如何进行管控。开源组件从互联网到进入本地的私服库，就需要解决引入来源的问题。这家企业的第三方外包人员和自有的研发人员都会从本地的私服库去下载开源组件，那么就要保证私服库的安全性。当我们的引擎和私服库进行对接时，可以做定时的扫描，帮助发现漏洞问题以及督促更新解决。私服库已有的组件可以通过这种方式去检测，但是从互联网引入的组件，该怎么确保其安全性？这家企业原本就有一个内部的评估流程和评估体系，通过一个审核平台让开发人员线上提交审核申请，在审核过程中，系统会告知组件是否合规，存在哪些漏洞，最安全的是哪个版本，最新发布的是哪个版本，这些能力都可以通过引擎端的接入实现。比如发起一次审批，把组件的相关信息发给审核平台，接入我们引擎端的能力，在审批之后，如果发现该组件没有高危漏洞，就可以直接通过平台自动化地从网上下载。如果存在高风险，整个评估流程就会被阻断，同时会告知阻断的原因，还会建议其他安全版本的组件。

在解决引入问题之后，第二个要解决的是增量和存量的问题。如何解决存量的问题？先对接仓库地址，对仓库进行相应的扫描，检测出已经发生漏洞问题的组件。如何解决增量的问题？流程中间有个触发构建的环节，当有新的应用发布时，可以将引擎能力嵌入现有的流水线中做实时的检测。

第三个要解决测试环节的问题。当进行功能测试和性能测试时，通过IAST插桩技术去分析运行时第三方组件，提高检测第三方组件的精准率。

总的来说，给这家企业建设整个开源治理体系也是分了三步。第一步，在引入环节，管控组件来源。第二步，解决增量和存量的问题，审核现有的和未来新增的组件。第三步，在功能测试和性能测试的时候去做最后阶段的审查。

在整个过程中会发现，人员介入相对比较少，很大程度上是依赖工具化的方式，包括审批流程也是通过自动化的工具去帮助完成。

以上就是我今天想与大家分享的，就是如何通过自动化和智能化的工具方式去实现开源治理体系的建设。要注意的是，在这个过程中，要结合企业内部的实践情况，慢慢优化整个开源治理体系，最终实现开源治理体系的闭环。

我的演讲就到这里，感谢大家。

关于悬镜安全

悬镜安全，DevSecOps敏捷安全领导者。由北京大学网络安全技术研究团队“XMIRROR”发起创立，致力以AI技术赋能敏捷安全，专注于DevSecOps软件供应链持续威胁一体化检测防御。核心的DevSecOps智适应威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的软件供应链安全服务，为金融、能源、泛互联网、IoT、云服务及汽车制造等行业用户提供创新灵活的智适应安全管家解决方案。