DSO 2022 | OpenSSF、极狐马景贺：DevSecOps如何助力开源软件供应链安全

2022年12月28日，由悬镜安全主办，3S-Lab软件供应链安全实验室、ISC互联网安全大会、Linux基金会OpenChain社区、OpenSCA社区联合协办的通过全球直播的形式圆满举行。本届大会以“共生·敏捷·进化”为主题，以“敏捷共生，守护中国软件供应链安全”为使命，立足全球视野，汇聚来自“产学研用”各界的顶尖技术专家、行业意见领袖、资深学者智囊、企业精英代表，聚焦DevSecOps敏捷安全、软件供应链安全和云原生安全三大典型应用场景下的新技术、新态势、新实践。

会上，OpenSSF中国工作组副组长/极狐GitLab DevOps技术布道师马景贺分享了如何通过DevSecOps保障开源软件供应链安全。

图1 OpenSSF中国工作组副组长/极狐GitLab DevOps技术布道师 马景贺

以下为演讲实录：

大家好，非常感谢主办方悬镜安全邀请我参与第二届全球DevSecOps敏捷安全大会。我是OpenSSF中国工作组的马景贺，也是Linux基金会亚太区的开源布道师，持续交付基金会的Ambassador（大使）。OpenSSF基金会成立后，在2022年年初与中国信息通信研究院共同成立了OpenSSF中国工作组，我在其中担任副组长一职，同时业余时间运营着云原生社区。我从2018年年底就开始实践并推广DevSecOps，今天借此机会与大家共同探讨DevSecOps是如何助力开源软件供应链安全保障的。

近年来，开源软件供应链安全显得尤为重要。无论是Linux基金会发布的SBOM报告、新思科技发布的开源安全和风险分析报告还是RedHat发布的企业开源状况报告，都显示企业的开源使用率在90%及以上。中国信通院2021年发布的《开原生态白皮书》提到，88.2%的企业开始使用开源。

开源相关政策和组织正在逐步建立和完善，如“开源”被写入国家“十四五”发展规划、工信部《“十四五”软件和信息技术服务业发展规划》指出要“加快繁荣开源生态”、中国首个开源基金会“开放原子开源基金会”成立等。这一定程度上促成了中国开源项目频出、融资火爆的现状。近年来十分受欢迎的CNCF（云原生应用计算基金会）中，有25%的开源项目源自中国，且比例将持续上升。我们也动辄听闻某个开源项目获千万级别或上亿级别融资。

开源已成全球大势所趋。CNCF目前托管了包括Kubernetes、Etcd、Harbor在内的141个开源项目，值得一提的是，Harbor是第一个由中国人主导并且毕业的CNCF托管项目。CDF（持续交付基金会）目前托管了9个项目，包括耳熟能详的Jenkins、中国企业捐赠的AI相关的Adlik、DELTA等。开放原子开源基金会自成立以来也托管了一些开源项目如操作系统相关的OpenEuler、OpenHarmony、AliOS等。从OS层、中间层到上层应用，开源覆盖了整个软件开发生命周期中的所有阶段，已成为数字基础设施的关键要素。

随着开源被越来越多地使用，安全已成为开源软件供应链的底线，必须得到重视，但是现状并不乐观。Anchore发布的2022年软件供应链安全报告显示，接近70%的企业在过去12个月里都受到了软件供应链攻击。Sonatype发布的第八次年度软件供应链状况报告显示，从2019年到2022年，软件供应链攻击数量在三年内的增长率达到了742%。

图2 开源软件供应链攻击数量激增（图片源自Sonatype报告）

安全的背后是一本经济账。IBM最新发布的数据泄露成本报告指出，安全问题会导致核心数据泄露从而造成经济损失，每一次数据泄露所损失的成本达435万美元。所以要守住开源软件供应链的安全底线。

然而开源软件供应链安全保障却面临严峻挑战。由于软件供应链的链式特点，针对上游某个点产生的攻击影响会一直传导到下游，造成面杀伤，因而只有链条上每个环节确保安全，整条供应链才是安全的。也正是这一原因，攻击者越来越多地采取在上游主动注入的攻击方式。

为此，Linux基金会成立了OpenSSF（开源软件安全基金会），旨在保证开源软件的安全合规，帮助实现端到端的安全交付。OpenSSF目前下设的七个工作组，针对软件供应链各个环节，有各自不同的分工。此外，OpenSSF提出了一种开源软件供应链安全框架SLSA，通过不同等级来确保开源项目的安全。

OpenSSF也在国内积极开展相关工作。Linux基金会和中国信通院在2022年6月成立了OpenSSF中国开源安全工作组。工作组在同年7月举办了开源安全治理模型和工具线上研讨会；9月，着手对Linux基金会发布的英文版SBOM报告进行翻译；11月6日，参加IOSF国际开源节并成功举办OpenSSF开源安全中国峰会；12月，计划举办OpenSSF Meetup。

在具体落地实践开源软件供应链安全保障工作时，DevSecOps能起到关键作用。在Gartner发布的《Hype Cycle for Application Security, 2022》（2022年应用安全技术成熟度曲线）报告中，DevSecOps正处于成熟发展期。

图3 DevSecOps正当时（图片源自Gartner报告）

DevSecOps的核心是将安全融入SDLC软件开发生命周期的每个阶段。流程、工具、人是DevSecOps的三要素，其中人是核心要素，DevSecOps要求人人为安全负责。到具体实施层面，就需要选择工具链并应用落地。常见的工具有敏感信息扫描、SCA软件成分分析、SAST静态代码分析、IAST灰盒安全检测、RASP运行时应用自我保护等。其中，SCA工具近来较为热门，能帮助企业清晰地了解软件中的所有开源组件并生成SBOM软件物料清单。根据自身实际业务情况选择工具进行实践，相关成果以报告形式展现，根据报告去进行后续安全工作，这样就是一次简单的DevSecOps落地。

在这个过程中，往往存在几个误区：

我们期望的DevSecOps应该是一种纵深防御体系，覆盖Code、Build、Test和Operation所有阶段，实现从静态到动态、从源码到上线的全流程安全防护；还需要做到安全的持续自动化，减少人工操作；最终，希望实现真正的安全左移，将安全报告进行有效整合并直接嵌入MR或PR中，同时需要进行漏洞追踪和管理。

通过DevSecOps进行开源软件供应链安全治理和运营，期望达到怎样的效果？每家企业作为自身软件供应链中的一个节点，利用DevSecOp构建纵深防御体系，保证研发和对外交付产品的安全性，确保下游安全。链条上的每个点都安全，就能保障整个软件供应链或开源软件供应链的安全。DevSecOps可以帮助开源软件供应链构建安全保障屏障，但不是一蹴而就，需要开发者、企业组织、基金会等一同参与，共建可信安全的开源软件供应链生态。

以上就是我此次分享的全部内容，期望DSO敏捷安全大会能帮助大家意识到安全的重要性，推动DevSecOps的发展，谢谢大家。

关于DSO敏捷安全大会

DSO敏捷安全大会以“敏捷共生，守护中国软件供应链安全”为使命，旨在搭建一个融合“行业用户场景实践、产业智库标准研究、安全媒体行业趋势和领军厂商创新技术”的DevSecOps生态交流分享平台。聚集技术智慧之光，携手共建，致力于助力敏捷安全技术创新实践发展，共筑行业整体性解决方案。了解更多信息请访问DSO大会官网：www.dsocon.cn

关于悬镜安全

悬镜安全，DevSecOps软件供应链安全领导者，起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。悬镜专注于以“代码疫苗”技术为内核，通过原创专利级“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系，持续赋能金融、泛互联网、车联网、智能制造、能源及运营商等数千家行业标杆用户，帮助其构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。了解更多信息请访问悬镜安全官网：www.xmirror.cn