DSS 2023 | 平安壹钱包汪永辉：开源组件治理实践之安全发包

8月10日，由悬镜安全主办、以“开源的力量”为主题的DSS 2023数字供应链安全大会在北京·国家会议中心隆重召开。平安壹钱包信息安全运营负责人汪永辉出席并发表了《开源组件治理实践之安全发包》主题演讲。

图1 平安壹钱包信息安全运营负责人汪永辉发表主题演讲

以下为演讲实录：

刚才听倪光南院士指出我国开源供应链安全被卡脖子的现象，以及毛新然秘书长和子芽都提到信创，我感到非常激动，因为这些事情终于被摆在台面上了。我对卡脖子问题有所关注和担忧，在大学实验室深造时喜欢研究纯技术和主动了解学习协议内容，尽管现在很难在为此做出太多贡献，但幸运的是还有像子芽这样的同仁仍然为解决卡脖子问题而努力着。

在正式开始分享前，我想先谈一点体会。从事安全工作的同学往往只是被告知需要做的事情，却从未被告知如何做。在学校时可能只需要掌握一些技术、知识、原理，如果毕业后进入国家单位，有了责任感，跟随前辈同事即可。但如果进入企业，可能会面临识别出漏洞，却不知道该如何推动漏洞收敛的情况，而且没有人告诉你该如何推进。即便你碰得头破血流，也无法得知如何升迁，HR也不知道如何帮助安全同学规划职业生涯。所以导致过往80后、90后的安全人员常常“靠爱发电”，这里我衷心希望95后以及00后同学的职场生涯能够越来越好。

接下来跟大家分享如何推动企业安全工作落地。

安全工作要紧跟业务的发展需要。我所在的企业是平安壹钱包，隶属于中国平安集团，是一家支付机构，注册用户达到4.48亿，年交易额在万亿级别。这家企业由科技驱动，强调安全、稳定、智能，由于自身强监管属性，在安全方面的投入占比一直很稳定，所以在这样一家重视安全的企业，推动安全工作落地的阻碍只在于你的思路和行为。

平安集团成立了一个科技会，下辖多家保险、银行、支付、证券等专业子公司，这些子公司都拥有自己的科技中心或者技术中心。在这样的背景下，如何推动项目落地或者集团战略的落地呢？集团成立了一个职能部门，通过条线管理渗透到各个专业子公司。比如其中关于开源组件合规使用，第一个发起的并不是信息安全条线，而是研发条线。为避免因外部开源组件的不当使用，影响公司信息安全与运营稳定，引发知识产权合规风险或对公司商誉造成影响，他们提出集团各部门、各专业公司对本部门、本公司外部开源组件合规使用建立事前、事中、事后管理体系，加强外部开源引入的管控和拦截。整个制度在平安壹钱包内部推动的过程中，最终是由安全部门牵头落地。

集团科技会覆盖信息安全、研发安全、运营安全、数据安全等，可考核各专业公司，而各专业公司的技术中心也分为研发、运营、安全、数据等部门。以组件安全为例，通过层层发包，层层考核，最终落在一线研发小组长或工程师头上，完成实际整改工作。

作为职能部门，如果没有充分的自由裁量权是很难生存的，因为它和业务部门不一样，业务部门只需要规划营收增长，比如今年营收1亿，明年营收1.5亿，但是安全部门却无法在开展每一项工作时拿到结果。

所谓自由裁量权，强调安全没有像业务交易规模这样的硬指标，更需要与领导层或相关方沟通，从而获得足够的支持，才能放开手脚去耕耘。如下图，可以很好地体现自由裁量权。

图2 自由裁量权示例

当一个职能部门推动工作时，一定需要其他各部门配合，但因为你无法给予同事职业晋升的帮助或者营收等硬指标的增长，所以只能先凭借沟通能力。虽然有监管出具的所有政策、法律、法规，也有测评单位的背书，但这些并不能够保证安全工作落地，因而需要安全执行人或者安全代表这一角色，通过和和领导层或相关方沟通。

我在平安壹钱包面临的实际情况是安全部门在多条研发流水线并存时，通过流水线卡点、考核让大家最终汇聚到一条流水线上。事实上，研发部门有自己的流水线，运营部门同样也有自己的流水线，它们的割裂程度往往很高。比如最近进行云原生转型时，公司不同团队会引入不同的技术镜像或者业务镜像，而将这些整合到一起的角色就是安全团队。当安全团队与其他团队沟通时，我们发现运营的各个团队想各自独立，但这并不利于增效，此时便可以出手将他们整合到一条流水线上。

下图是用来说明，公司即便不断投入大量人力、物力，但是在安全技术和能力的成长上往往是缓慢的，因为在技术层面仍存在卡脖子问题。

图3 安全能力建设成果

我们发现单一技术的实际效益并不凸显。以边界安全为例，厂商提供的设备众多比如WAF、APT攻击检测和防御等，它们在大部分时间里是探测攻击行为，但识别到攻击行为却并不代表你的企业存在风险隐患，公司仍需要结合软件成分分析、SBOM等敏捷安全技术或工具，罗列各业务应用的组件占比情况，与边界安全设备探测出的已知攻击进行匹配，如此，当下次高危漏洞爆发时便能立刻解决，不会产生巨大损失。

所以漏洞收敛优先级的依据包括：边界防御设备检测出来的组件攻击探测量排名、全域应用组件的使用量排名、重要应用组件的使用量排名。结合上述依据，对选取的组件统一版本号，全域排期修复，实施流水线卡点，每周晒各研发小组的修复率排名，踢屁股考核。

在这种情况下，所有研发、运维同学就不再抵抗组件的升级。过往他们往往以没有依据为由抵制或者延期升级。值得一提的是，单纯从安全角度分析，如果某一组件的多个升级版本并不存在已知高危漏洞，确实没有必要修复升级，但是如果发现大量应用在使用该组件，就需要跟进升级，不然万一爆发重大漏洞，隔多个版本升级往往会出现兼容性问题，进而对业务产生影响。在这一过程中，平安壹钱包提供的是组件的标准版本，并不是提供版本范围，这也是研发人员的心声。改版本号才是让业务应用快速上线的最好办法，而不是通过流水线的卡点。

如何推进升级修复工作？我们是实施考核工作，通过绩效和排名来推动。当然，并不是所有组件都会完全修复，那些无法改动的系统如果不再使用便可以排期下线，如果很重要就可以重构，不是一锤子买卖。

图4 汪永辉分享平安壹钱包在安全方面的工作成果和经验

在演讲的最后，分享一句话：只计耕耘莫问收。谨以此句与君共勉，谢谢大家！