24000字企业开源安全治理最佳实践发布

写在前面

这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结，在编写这篇最佳实践的2个多月过程中，我又收到将近20家企业的应用安全专家及安全负责人的高质量建议，这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持，当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。还有很多在这个过程中通过微信和群聊给我反馈的匿名大佬们的支持（匿名的ID，我暂时没有对上号，后续被我发现了之后再致谢吧），如果有遗漏大佬们提醒我一下。过程中我还采访了美团、平安银行、shein、某国有银行、某能源央企、某头部运营商等等的一众大佬，感谢所有为这个最佳实践贡献经验的每一个小伙伴，感恩。

一、为什么要发布此最佳实践？

随着开源软件在企业的应用比例越来越高，各行业使用开源软件的占比已超过90%，开源软件供应链所带来的安全威胁已成为企业面临的主要威胁之一，上个月底刚爆发的“核弹级”开源软件供应链“XZ-Utils”后门事件在全球范围内引起了轰动，而全球最著名的加密勒索组织Lockbit最惯用的攻击手法也是来自开源软件供应链0day/Nday漏洞。

在此背景下，近两年国内主要行业（包括互联网、金融、运营商、能源、智能制造、政务数字化等）的头部企业均已开展开源软件供应链安全治理工作，一些头部企业在这项工作开展中已经初见成效。但是更多的头部及腰部的企业、以及一些数字化程度相对较弱的行业仍在摸索和调研应该如何开展此项工作。

墨菲安全是一家专注于软件供应链安全领域的创新企业，我们核心团队有超过十年的企业安全治理经验，我们深刻认知到企业想要开展开源软件供应链安全治理并不是采购/自研一个/多个软件工具就能解决问题的，我们必须要进行持续的运营产生实际价值且这个价值能够显现的得到企业管理层的认可，此项工作才能在企业内部持续的开展下去，才能真正提升企业的应用安全水平，而这其实并不容易。过去，我们看到非常多的企业在采购完此类的安全产品/工具后其实并没有真正运营起来，导致此类安全问题一直没有得到解决。所以我们花了大概三个月的时间，结合我们过去服务和交流过的300多家企业的经验教训，同时联合国内十多家已经在开源软件安全治理方面初见成效的企业，整理出来这个最佳实践，希望能够帮助更多的企业高效的开展开源软件供应链安全治理工作，尽量少踩坑。

二、谁需要此最佳实践？

您的企业数字化程度较高，正在面临严重的开源软件供应链安全威胁

企业直接使用了大量开源组件；
企业间接（外包/外采商业软件）引入了大量开源组件；

如果您正在计划/已经开展开源软件供应链安全治理

面临开源软件带来的安全威胁，但是还没有启动这项工作；
正在调研方案，但是并不是非常清楚应该如何做；
已经着手开展此项工地，但是遇到很多调整；

如果您未来将负责开展此项工作

企业应用安全负责人
企业开源安全治理负责人
企业安全负责人

三、此最佳实践的主要内容及解决哪些问题？

我们调研了超过200家的企业在开展开源软件供应链安全治理过程中遇到的核心问题及给出的解决方案，通过提炼最终形成最佳实践，这里面包括企业的开源安全治理工作的核心九大环节，包括每个环节的目标、关键要点及实际操作方法，全文24000多字，此外还有一些详细的参考文档作为附录支撑，可以供企业负责开展此项工作的负责人参考和使用，可极大提升项目效率及成功率。

《开源软件供应链安全治理最佳实践》九大环节

最佳实践中核心解答的问题：