24000字企业开源安全治理最佳实践发布

写在前面

这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结，在编写这篇最佳实践的2个多月过程中，我又收到将近20家企业的应用安全专家及安全负责人的高质量建议，这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持，当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。还有很多在这个过程中通过微信和群聊给我反馈的匿名大佬们的支持（匿名的ID，我暂时没有对上号，后续被我发现了之后再致谢吧），如果有遗漏大佬们提醒我一下。过程中我还采访了美团、平安银行、shein、某国有银行、某能源央企、某头部运营商等等的一众大佬，感谢所有为这个最佳实践贡献经验的每一个小伙伴，感恩。

一、为什么要发布此最佳实践？

随着开源软件在企业的应用比例越来越高，各行业使用开源软件的占比已超过90%，开源软件供应链所带来的安全威胁已成为企业面临的主要威胁之一，上个月底刚爆发的“核弹级”开源软件供应链“XZ-Utils”后门事件在全球范围内引起了轰动，而全球最著名的加密勒索组织Lockbit最惯用的攻击手法也是来自开源软件供应链0day/Nday漏洞。

在此背景下，近两年国内主要行业（包括互联网、金融、运营商、能源、智能制造、政务数字化等）的头部企业均已开展开源软件供应链安全治理工作，一些头部企业在这项工作开展中已经初见成效。但是更多的头部及腰部的企业、以及一些数字化程度相对较弱的行业仍在摸索和调研应该如何开展此项工作。

墨菲安全是一家专注于软件供应链安全领域的创新企业，我们核心团队有超过十年的企业安全治理经验，我们深刻认知到企业想要开展开源软件供应链安全治理并不是采购/自研一个/多个软件工具就能解决问题的，我们必须要进行持续的运营产生实际价值且这个价值能够显现的得到企业管理层的认可，此项工作才能在企业内部持续的开展下去，才能真正提升企业的应用安全水平，而这其实并不容易。过去，我们看到非常多的企业在采购完此类的安全产品/工具后其实并没有真正运营起来，导致此类安全问题一直没有得到解决。所以我们花了大概三个月的时间，结合我们过去服务和交流过的300多家企业的经验教训，同时联合国内十多家已经在开源软件安全治理方面初见成效的企业，整理出来这个最佳实践，希望能够帮助更多的企业高效的开展开源软件供应链安全治理工作，尽量少踩坑。

二、谁需要此最佳实践？

• 您的企业数字化程度较高，正在面临严重的开源软件供应链安全威胁

1. 企业直接使用了大量开源组件；

2. 企业间接（外包/外采商业软件）引入了大量开源组件；

• 如果您正在计划/已经开展开源软件供应链安全治理

1. 面临开源软件带来的安全威胁，但是还没有启动这项工作；

2. 正在调研方案，但是并不是非常清楚应该如何做；

3. 已经着手开展此项工地，但是遇到很多调整；

• 如果您未来将负责开展此项工作

1. 企业应用安全负责人

2. 企业开源安全治理负责人

3. 企业安全负责人

三、此最佳实践的主要内容及解决哪些问题？

我们调研了超过200家的企业在开展开源软件供应链安全治理过程中遇到的核心问题及给出的解决方案，通过提炼最终形成最佳实践，这里面包括企业的开源安全治理工作的核心九大环节，包括每个环节的目标、关键要点及实际操作方法，全文24000多字，此外还有一些详细的参考文档作为附录支撑，可以供企业负责开展此项工作的负责人参考和使用，可极大提升项目效率及成功率。

《开源软件供应链安全治理最佳实践》九大环节

最佳实践中核心解答的问题：

• 如何向公司管理层说清楚开源软件供应链安全治理的价值及收益？

• 如何高效有序的分步开展开源软件供应链安全治理工作？

• 需要治理的开源软件安全风险非常多，如何科学的确定优先级？

• 平滑的将安全工具能力嵌入至企业的软件开发/管理流程，降低公司内阻力？

• 开源软件安全治理过程中大量安全问题无法处置的问题？

• 开源软件安全治理的例行运营过程中，面临了研发部门不配合不理解的问题？

你可以想到的在开展此项工作中会遇到的大部分问题，我们都将尝试给出实操的答案。

**四、**获取最佳实践/参与研讨/参与共建

获取最新版最佳实践

我们的最佳实践会以月度的频率进行快速迭代完善，为了方便您获取最新版本，您可以填写您的联系方式，我们的运营小姐姐会第一时间将最新版本发送给您。

点击链接或扫描二维码申请：

1. 申请链接：

https://murphysec.feishu.cn/share/base/form/shrcnQiKhcpzX06MT2aCh48oSCc

2. 二维码

第一期最佳实践分享及闭门研讨会报名

后续我们每个月会组织1-2次关于软件供应链安全的最佳实践的分享和研讨，帮助大家能够在企业内高效的开展软件供应链安全治理工作，闭门研讨会内容包括：

1、企业最佳实践的分享

2、邀请有丰富建设经验的企业大佬与参会人员深入交流讨论

研讨会时间：2024-05-15 19:00

**面向人群：**企业应用安全工程师/安全负责人/安全专家/开源安全治理负责人等。

**主持人：**墨菲安全创始人&CEO 章华鹏

**报名通道：**扫描下方海报二维码报名。

**报名审核：**为了提升交流质量，我们每一期会控制参与人员数量及范围，所以报名需要审核。

如何参与此最佳实践的共建？

为了促进行业的交流和共建，墨菲安全会定期组织大家讨论对于最新版本的最佳实践的一些建议和修正，帮助最佳实践能够始终保持创新和领先，服务于全球的数字化企业，这个过程中也可以使得所有的参与方共同学习和进步。

参与方式：添加运营小姐姐的企业微信，并备注参与最佳实践的共建。

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析（SCA）等，丰富的安全工具助您打造完备的软件开发安全能力（DevSecOps）。

旗下的安全研究团队墨菲安全实验室，专注于软件供应链安全相关领域的技术研究，关注的方向包括：开源软件安全、程序分析、威胁情报分析、企业安全治理等。公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

他们正在使用墨菲安全