做好开源软件安全管理帮您移开IoT认证的挡路石

Realize Ultimate Security every step starts with the labs
www.onwardsecurity.com
2021最佳物聯網資安公司
做好开源软件安全管理，帮您移
开IoT 认证的挡路石
仲至信息科技产品经理白尚永(Bruce)
2021/06/17

© 2021 Onward Security Corp. All rights reserved. 1
为何我们要重视IoT的安全性

科技来自于人性
科技是人类自身的延续

AI
Big Data
Blockchain
IoT
思考的能力
经验的累积
不可改变的现实
接触外界的感官(眼嘴鼻耳)
IoT是虚拟世界的沟通接口、
也容易成为恶意攻击的目标
科技是人类自身的延续

IoT认证相关法规要求

ioXt 联盟认证的需求
Level 1
VDP in Place and accept
external submission
厂商必须有主动追踪管理
产品漏洞的机制及能力
Level 2
Monitoring Security
relevant components
厂商需建立SBOM、并针对
软件漏洞(CVE)进行管理

欧盟ETSI/EN303645物联网安全认证
5.2 Implement a means to manage reports of
vulnerabilities
厂商需能针对产品持续的监
控、管理及改进其产品之漏
洞
Provision 5.2-3
Manufacturers should continually monitor for, identify and rectify security
vulnerabilities within products and services they sell, produce, have produced and
services they operate during the defined support period.

美国医疗器材网络安全管理法规 (2018)
威胁建模
风险分析
安全设计要求
安全(功
能测试)
追溯矩阵
CBOM(Cyber Security BOM)
静态和动态代码分析。
漏洞扫描
稳健性测试
边界分析
测试设备性能
渗透测试
系统中第三方现成软件的安全有效性证据
第三方测试报告
软件物料清单安全管理
导入CBOM概念
厂商需能分析并管理产品中之
软件组件相关漏洞

IoT认证相关法规要求
医疗器材网络安全管理法规(2018)
厂商必须有主动追踪管理
产品漏洞的机制及能力
厂商需建立SBOM、并针
对软件漏洞(CVE)进行管
理
厂商需能针对产品持续的
监控、管理及改进其产品
之漏洞
导入CBOM概念
厂商需能分析并管理产品中
之软件组件相关漏洞
厂商须建立产品软件/固件之漏洞、风险评估机制，并
进行持续管理、追踪

为何要做好开源软件的风险管理?

开源软件风险逐年增加
Ref: https://www.zdnet.com/article/60-percent-of-codebases-contain-open-source-vulnerabilities/
NVD 的漏洞数据库近年快速增加，
其中包括大量来自开源软件的风险。
据统计，2018年来自OSS的风险比2017年
成长了128%
Ref: National Vulnerability Database

自行开发之原始码
开源软件
外包开发
开源软件在现今产品中的结构
最终应用/产品
商用套装软件
开源专案A
开源专案B
开源专案?
开源组件A
开源组件C
开源组件B
开源组件D
开源组件E
?
潜在需管理第三方之开源软件
高风险、低透
明度区域
……..

为何要做好开源软件安全管理?
有风险的第三方开源软件(OSS)
Ref:https://medstack.co/blog/defence-in-depth-the-medieval-castle-approach-to-internet-security/
OSS本身也有可能使用到
另外有漏洞的OSS
自行开发软件
开源软件
认证
关闭埠
服务埠
数据储存安全
更新
实体安全
日志
权限
控管
安全产品的设计如同一座精心打造的城堡

怎么做好开源软件的安全管理？

我们关心的开源软件问题
外部风险
开源软件漏洞侵权问题 OSS清单管理
A
?
内部风险
无法有效管理
开源软件漏洞
过于复杂的
开源授权分类
难以管理的复
杂软件供应链
B C
?
• 企业产品漏洞
• 企业蒙受智财损失
• 企业形象受损
• 错误授权使用
• 未知的软件来源风险
• 软件验收困难

如何做好开源软件管理
1.开始管理您的开源软件清单
2.找出并管理开源软件漏洞及授权问题
3.追踪及即时处理开源软件漏洞
建立并更新开源软件清单
透过公开资料来源查找开源软件之
漏洞、授权问题
每日更新开源软件漏洞资料
使用自动化工具

开源软件风险管理系统

开源软件风险管理系统特色
管理开源软件
掌握产品风险
• 自动化分析固件、软件中开源组件
• 开源软件与第三方套件授权、漏洞分析
• 追踪、更新、警示产品风险
• 整合CI/CD系统提升修补效率
适用团队：开发、安全与质量管理团队

• ioXt漏洞盘点分析
• 采用ioXt联盟风险评估指针之
算法进行Likelihood 风险分级
ioXt Likelihood
Analysis
OSS清单
ioXt likelihood风险评估工具
Heat Map of New Alerts
SEVERITY
CRITIC
AL
HIGH
MEDIU
M
LOW NONE N/A
LIKELIH
OOD
HIGH 52 147 124 12 0 651
MEDIUM 0 0 0 0 0 0
LOW 397 1424 1003 41 0 2495
SecSAM可提供符合 ioXt 联盟评分指标
之安全分析工具
• 提供建议解决方案(进阶版)

• NVD CVE漏洞关联分析
• 提供漏洞建议解决方案
Open Source
Vulnerability Analysis
开源软件列表
OSS漏洞分析
…
CVSS(CVE)漏洞评级
• 每日更新风险事件
• 每日更新专属漏洞数据库
漏洞情资数据库

• Binary特征值比对引擎
• 可进行固件分析
• 自动分析开源软件组成
Binary Analysis
自动化软件组成分析
CVSS(CVE)漏洞评级
开源软件列表
+
• 开源软件原始码特征值分析
• 持续更新开源软件特征值
Binary特征值数据库
1010
1010
1010

OSS授权分析
• OSS授权分类扫描
• 管理授权使用政策
License Type
Analysis
授权清单及分类
授权情资数据库
• 定期更新授权情资数据库
1010
1010
1010

自行开发之原始码
开源软件
外包开发
透过Binary Analysis 分析出低透明度区域组成
最终应用/产品
D 商用套装软件
开源专案A
开源专案B
开源专案?
开源组件A
开源组件C
开源组件B
开源组件D
开源组件E
?
潜在需管理第三方之开源软件
……..
高风险、低透
明度区域
透过SecSAM 解析开源组件，
帮助解决潜在风险
D

使用情境

自行开发
之原始码
开发团队软件组成
OSS清单分析/建立
开源软件
无法取得原始码之软件
(自行开发/开源)
外包开发
无须原始码也
可轻松分析
更弹性/便利的OSS组成分析方式
• Component清单汇入
• CPE清单汇入
1. 既有软件列表汇入/校正
2. 第三方报告汇入
3. Binary Analysis

• 盘点清单汇入
• 软件列表校正
• 每日更新漏洞数据库
• 每日更新风险事件
• 每日更新专属漏洞数据库
Binary特征值
数据库
OSS
Vulnerability
Analysis
授权情资
数据库
Binary
Analysis
License Type
Analysis
• 组件名称
• 版本名称
• 漏洞汇整
• 授权分类
• 建议解决方案
漏洞情资
数据库
OSS风险管理清单
追踪
管理
警示
1. OSS清单分析/建立 2.漏洞分析 3.授权分析 4.风险管理追踪
OSS风险管理流程
未盘点软件分析

其他特点

• Nessus
• Checkmarx
• Acunetix
• SecDevice
• Onward Laboratory Reports
• 配合既有工具改善风险
• 追踪产品改善进度
• 链接各产品改善状况与建议
• 支持软件列表管理供应炼风险
完整的第三方测报整合
整合多项工具测报化繁为简
第三方工具测报
开源软件与风险汇总管理
• Mantis
• Jira
• Bugzilla
Issue Tracker 报表整合
• 合规顾问报告汇入(e.q. IEC
62443)
合规报表整合

事故管理模块(1/2)
事故追踪与管理
被列为影响产品的事故，透过事故
管理模块进行修补情况追踪与管理，
确切掌握处理进度。
✓
事故管理模块
主动将事件通知相关人员
透过E-Mail 实时发送产品资安情资，
通知相关人员进行相对应的处置。
✓
事故通知模块

事故管理模块情(2/2)
每日截取
NVD CVE
每日由70+个来源
截取最新资安事件
1.Pcs / 0.9.148 /MIT
2.Linux /4.14.117 /GPL
3.Linux / 4.14.117 /GPL-1.0
4.Linux / 4.14.117 / GPL-2.0
5.Linux / 4.14.117 / GPL-2.0+
CVE-2020-11669
自动关联与漏洞配对
透过内建自动关联功能，过滤不存在团队产品
中的漏洞，让团队只需专心在应处理的漏洞
产品数据漏洞资料 CVE资料事件资料
自动实时同步与关联最新漏洞信息自动实时同步与关联最新事件信息

产品
管理
Project
Issue
Tracker
PM
QA
RD
资安
管理
Component
资安
新漏洞通报
新资事件通报
协作
工具
法务
授权
稽核
License
使用情境

关于仲至信息科技

物联网安全合规解决方案
200+ Customers
Served
10+ Awards
资安实务
经验丰富
国际认可
实验室
国际奖项
• 2014成立
• 超过 80 位员工 400+ Products
Validated
Best IT Company
of the Year
Best Cybersecurity
Company – ASIA
Gold Winner
Hot Company in
Cybersecurity Internet of
Things

合规与网络安全评估服务
检视 & 比较
差异
分析
评估 & 改进
流程
导入
审核 & 认证
持续
改善
改善网络安全质量从源头开始(Secure-by-Design) 使合规变得更简单
个资保护合规辅导
产品安全认证辅导
医疗设备安全风险评估
软件安全开发辅导
• FDA
• HIPPA
• EMA
网络安全系统及辅导
车联网安全认证辅导无线射频安全评估
网络安全健诊
渗透测试
教育训练
PSIRT

网络安全认证服务
仲至信息的网络安全认证受肯定
10+ 国家政府/买家 | 150+ 测试项目并且持续更新
智能家居物联网产品
网络与系统
工控安全 5G 产品金融安全
EN 303 645
密码安全
民生消费品及
食品安全

产品网络安全合规自动化平台
 支援 IoT/IIoT 设备漏洞检测
 运用模糊测试探索未知漏洞
 智能化测试专利技术，近乎
零误判
进阶
漏洞挖掘
智能
合规检测
RD/QA/安全团队 PM/RD/安全团队
 毋需原始码即可轻松分析
开源软件构成组件
 采用 SBOM 同时管理与追
踪漏洞风险评等
 支援开源软件第三方套件
授权许可分析
管理
开源软件
掌握
产品风险
满足产品上市安全要求

做好开源软件安全管理帮您移开IoT认证的挡路石

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a 做好开源软件安全管理帮您移开IoT认证的挡路石

Semelhante a 做好开源软件安全管理帮您移开IoT认证的挡路石 (20)