非常榮幸在这里跟大家做这次分享那么我是新年安全的等级我今天分享的主题呢就是上面这个E-S-BOM或者叫S-BOM为基础的原来生意完成的这里刚才赵老师分享技术非常的深悲伤观念那么我们呢这个分享尽量是把这个视角带拉出来一点以我们自身的实践没有我们卸除的主要内容那么今天我们我这个分享的这个话题还是从这边牛奶开始说起大家看到这边牛奶的时候不知道要不愿意喝掉它以我客人的角度来说呢可能我并不太敢喝掉它原因呢在于我并不确认它是什么样的一瓶牛奶或者说它是不是牛奶我只看这个图的话或者这瓶东就好也许呢它是一个加了三句钱的你们的也许呢它是一只水瓶乳胶抓到一个类似于装牛奶的瓶子里而已那么当我们转到瓶身看到后面的标签的时候这个时候至少我客人会放松了很多我会愿意喝掉它原因在于呢我可以看到这个品名是牛奶并且它的配料也是牛奶然后里面呢还有我们的正规的实现部门给它生产批号那在这个情况下我认为它是一瓶可信的牛奶那么我就可以选择喝掉它那么基于这个案例我们可以看到同样一瓶东西不同角度看它因为我们客人的感受是因为都是完全不同的原因在于有两点就是上连写的两点第一点呢就是这个东西上要有一个成分清干来帮我们识别这个东西的里面到底有什么东西包含什么内容也就是实现这个东西的透明度以及可见解第二个呢就是我们要有一个比较强大的阶段机构我们所信的来告诉我们这个配料比如说这个可见性是可信的那实际上有自己的配料表文件行业也有自己的就是我们所说的文件无料清单这个概念呢可能很多朋友都已经听过这两天吵得比较热那么简单来说文件无料清单呢就是我们软件成分的一个清单清单列表就是什么叫文件无料的概念列出的这几个呢是几个常见的格式这个后面会再次提到为什么清单无料清单这件算是我们的一个记录者师吧是越来越重要的原因是在原生时的我们面临的空调面跟我们的基础变格有很大的关系我们很多团统的这种安全防御手段都已经不再失诱了我们可以看到画面的索章角列入了我们原生时代重要的思想变格吧首先就是上纱博士上我们从瀑布到敏捷到现在以带保护为主的这种上纱博士这就要求我们对安全防御手段越来越敏捷化第二呢就是在应该负傻安全系统大到SV大到B瀑布为主的这种上纱博士也是让我们很多传统的这种边界团手段已经不再能用因此我们一些新的基于SBOM的这种清开化的防御手段就需要我们着重进行考虑第三呢在代码实现上从传统的B元到开源到现在混源模式就是开源都在用我们很多的传统价我们是用了开源的代码但是我们会调B元的API和签口这种情况下也是需要特殊做考虑的第四点呢就是服务器从估计器到市密器到现在的计划带来的呢就是我们看到中间这张图在通牒面上对我们一下最大的实际上已经不再是B元组建就是我们自研大码或者B元组建之间的风险而是开源组建为主的风险以及API的风险以及融现实那我这边在队伍的传统为了清单进行一个进一步的描述我们再重新定下来的传统我要清单的是原生时代应用安全风险处理的技术程式这是它在一个基本定位它有几项特点第一呢是它是这里第三张组建风险没有它可能是能做错的不是做不好是根本做不了第二呢是它是可深入融合于DiVox的这种应用生产模式的这也是它能够用新的一个反正的一个基础性的特律第三呢是它可以与多路它能够告诉工具店联动 强化效能这也是目前工具上的一个发展趋势第四呢是在原生应用的开发端体育营端均能够发挥它的效果下面再介绍一下我觉得是时间纤绕这是传统的东西在新年做的一个M调查大概就三分之一的受到者遵循着S5的最佳时间其实这一数据也是我所看的最多发展组出去了跟这一类似的去年呢也跟Dreambuck一起做了这个行业调查的报告其中也有动力道理就是有关S5的只有百分之三的受到者是做相对超值的实验可以说在S5的应用实验上这个行业是远远不够刚才说到了我们的DiVox它的应用度完全不够那么另外一个方面就是我们的签管机构上目前我们的主编有无可能我们可以清楚地看好在整个原生的实验其实是比层次机依赖于我们开源世界而发展出来的如果没有我们的广泛的这种开源的原生的技术师以及原生的这种开源的软件应用那么我们很多的应用我们很多的查证有无大实现那么在开源世界有个很显示的特征就是责任存货也就是我们所说的大家各扫文签去当然到明远你们自己去管总统自己的事情我们看到上一个那个是批判的上的就是它的社区抗力教授这个就是诱惑政策现在这个是我们用的批判的批判SS批判的批判是批判的批判批判的批判是批判的批判都有条件的我们所谓的美则生命意思就是能用到一个开源组建说的事儿不大你们自己去想想那么也就是说在在我们这个原生时代我们做很多应用开发或者应用应用应用的时候我们自己就是应用安全在第一次认识甚至是唯一认识没有人能帮助我们开源供给商是不会多致的那相应到我们在原生的开源应用上看到V4的情况我们原生时代之前是发布了自己的一个开源的S1工具走开的S1我们也用它这些设讯型的扫描扫描了很多原生产生产常用的技术师已经用软件这也随便推了三个我们可以看到每一个基本都有十几个到几十个份的垃圾这个怎么算多的还有几百个垃圾的这种开源耳机也存在因为有些银杆所以我把他们的领导所以说在开源应用上风险面是非常的广的特别是这种功能越强大的用越广泛的这种开源图件它的动作不见得少通常意见的更多因为它通常有平凡的建成的动作因为平凡的数据库的存取的这种动作或者有GP平凡的第三方API的交互的动作因此它的通行解决会更多一些相应到那也在新年发布的报告就是他们也认为在原生世代战转供电供机是越来越多的那么到2015年的几百分之四路的组织会受到的供电供机并且这个数据是2.2亿年的三倍以上那么供电供机其中很大的一部分其实最重要的一部分就是它一个第三方组建的应用动作利用比如地上投毒的有地上组建的东西这是近几年这些重要的供电供机的事件其中很多就是跟开源的组织相关也包括刚才GLA的王老师推荐的这个网组的组织那这是一个另外的因子是F2.2公司的新线组织建这个世界很多人可能都有错误的人它一直发生在2017年的它的实验的起源是由于当时Strauss II零四百分之五的组织当年这个漏洞的暂时也是一个核弹级的实验有点类似于21年底的这个老王瑞兔在当年已经想法一点都不住当年这个漏洞爆发出来之后很多的政府都采取了相应的证实的解决措施美国联邦政府也不意外他们也对很多的重要的民生的企业和这种机构进行了相应的这种漏洞的情况的通知希望能够进行进化的整改那么MTX其实也接到早时的这个通知但是当时MTX公司的安排部门并有掌握到自己的这个公司内部所用的一些应用的完整的这个软件所以他们并不清楚去哪去找这些存在这个漏洞的应用组建就有更别的整改所以他们所做的就是把相应的通知相应的通知现场表演的自己的研发部让他们的自信去做争改那营造部门自己也缺乏相应的这个相应的固执部也缺乏相应的整改手段所以这个事情就严加大从三月份投到五月份两个月之内肯定没有修复这些那这两个月就是黑客的互联事件这两个月是达到了一亿多条的用户数据最终造成了美国旅程最大的新鲜的出现之一但是这件事情我们其实已经发生在六年下但是实际上在七年的时候这个事情在才最终的全下落定因为这四五年都是在跟美国政府进行一些修复还有一些运营场体都在进行修复最终达成了就是贼尼亚公司安科泰克斯是非常的70亿美金表示那下面我再进一步在战术下思考我们的一些基本的情况首先思考我们的错误上有哪些这里整理了八点这八点也深度在年跟新同学里面发布的报道里分别是一个你想想的斗路管理特区管理极限建立资产管理就有变成的受损管理知识生命管理主题高关线管理这也八点实际上可以说团队错误还是非常矛盼所以我们相应的它社会的顾问和人员也会比较多也就是说无论您是在顾问主要是你们在企业里我还提的业务那么通常跟S报道都同感关系这是S报道的一个点子的作用势力基本上可以原有代表上的把S报道的作用表现出来吧我可以看到就是如果我在确认S报道的情况下就是上一个这一组图当上一个图件发现了一个动作之后它会进行一个整改做一个过程在这个过程之内由于下流产生对你有长过S报道所以它并不知道我有一个图件已经爆发了落导那你它属于完全不知成的状态直到某一天它突然它通过保补刚式直到那个情况它也信心自己的整改在这个过程每个就是每个关节之间所以就是这个过程会存在一个非常长的不可控的这个阶段没有进行任何的有效能专业那么如果我使用S报道之后大家上下游的这种图件的厂商都会在第一时间就知道我有一个图件发发了一个进的落导它又可以在第一时间进行这个落导关节以及落导的修复也就是说我们可以真正地做到对落导的进行第一时间开始了全国企业的管理这就会有效地讲述给我们的对我们的一些东西在S报道的什么场景上我们刚才提到很多的我们的这个角色都可以用到S报道简单还说关节生产上软件材质上软件鱼杀都可以使用那其中各个部门也是很多都可以使用比如说开药团队安排团队防污团队等等之后我们这些类似的工作还在这儿会越来越多下面简单再点一下我们的S报道时间要点这个时间要点是来自时间的阶段是我们的一些经验的组织第一个样子就是S报道是要有多重情报的关节应该S报道它只是一个进一步的内容它自己并不能完成一个有效的安全工作它需要跟其他的工具进行联动才能成为有效的这种安全的地方那多重情报就是一个非常重要的工具联动的工具我们之后比如说像刚才的那个前面的第一时间大家能够知道我有一个组建报罗宫的前夕是他们有比较有效的组织公显情报做支撑如果没有这个公众支撑他们也有从支撑所以罗宫从点情报是非常重要的这是第一点第二点是我们要公告上个日段是NTA就是NTA是NTANTA是NTA这个这个最难的就是我们要有自动化的知识这个是NTA的底层要求原因很好理解NTA作为一个列表清单如果我们没有自动化用人工的方式做管理的话是个什么情况我们知道我们现在最内容都有成本上签这是我们主建在支撑立法运用如果我们用人工的方式让我们管得过来所以我们需要用自动化的方式来做SPO的过去管理以及后续的匹配以及后续匹配的动作这也是之前提到的就是我们原生是在用迷迭化的统治的管理因为我们知道迷迭化的底层就是我们切掉自动化没有自动化啊所边这三个前面也提过就是我们常见的三轴国际通用的这个方式就是SPX伱でした和SWI一起三轴这三个是实际上它本来的设计是各有不同的我们可以看到是美国进行还是加一队组织吧在这个购建软件组续的户 w 顺便也提到了在时候是包含还有在组建这种和组建这种组建这种组建信息这一般我理解这就是那个清单了但是后面就是继续可不如规范性的清单这继续可不如规范性的感染词很多人会忽略的其实这点词是非常重要的如果没有它也不能说出一个很那个标准的SBOM因为SBOM刚才提到的就是自动化自动化有一个很体讨的标准就是我们这个SBOM需要跟其他的工具进行联络如果你不是规范小的东西可不如就无法联络我之前真的有介绍课后就是它的做法是它使用的就是UV32宝贵是公司自己定义的包含安心的你还搞不过定义的反正是它自己定义的然后它把一个表格派发给自己的以前发的然后就填填收回来之后存起来就结束了这种方式呢其实它并不是一个真正有效的SBOM的实用方式实际上说它就是一个硬幅检查的如果有存存检查的它就说硬幅幅幅是但实际上是起伤人不作用收回来的三个格式所谓的SBOM是开始设计出来的实际上是用一座硬幅检查软理然后中间这个三张DS是包含SBOM的旗下的一个开源的项目的一个组件叫DFNC CHECK也是用这个开源项目里最开始是用三桶S的S做项目里面的这个组件分析的这种吸吸管理的最后那个SL和ID是本来是开始用的设计成功做它的解决带来的这种组件管理的但现在这三个格式的基本步骤实际上都是可以用的因为它的基本功能都是远程制的那下面一个存在的要点是我们要把整个SBOM管理这套动作不怕到永生和体系当中这个永生和体系是什么合作的但是一定得人刻到某一个体系或者人刻到这也得说到我们实际上有虽然立了我们有些客户呢我们看它有个轮胆叫轮胆物药存在的一个流程它就是专门针对轮胆物药存在的一个流程是一个各种动作但是它没有跟企业其他的安全的动作进行这个动作那在用这个情况下可以看到SBOM它是无法进行有效的流转因为SBOM其实它这个底层技术确实它最好发挥过我们的方式也就是人刻到一个轮胆的程度里面支撑我们的轮胆物药更完善把我们SBOM除缘当作一个负担而是当作一个能够提升我们的轴气能力的工具这样会更好一些所以我们可以看到我们很多客户现在它呢会把SBOM作为一个缓解或者是其中的一个点用不到这个流程这个流程有可能有淡爆的这种流程这个有SBL的关于流程甚至可能就是一个独立的漏洞的这种印象中的流程都可以用SBOM只要SBOM能融入到限制流程里它就能起到这个作用下面就是展示在我们在实验中的一个方案这个方案相对比较轻量是我们给了很多我们的客户推荐的它们最开始实验SBOM比较陆陆地理它并不算复杂当然基本上说也能改个七八八的这个风险基本上说这个方案跟三个方面第一个方面叫游行解册第二个方面叫出上美丽第三个方面叫做持续的游行简单解册下在游行中检测就是我们在入口端要有什么控制这个入口端就包含我们第三方的开了或者预言组建的引入的团体以及我们第三方的比如说多伯伴的PKM我们引入团体这样做一个超级队伍入口端有好的管理后面的很多动作都可以解放都变得更加容易去做的一些如果入口端没有软好后面的动作会非常的复杂第二个非常简单地理其实我们在应用上线之前需要打一个REST的插装信息REST是一个算是一段代码它有一个代码就是我们所说的代码力量实际上它要做的就是监测并存中的上海的信息如果我应用在跑载之后在运营阶段出现了一些比如说工具的行为经常行为我们就会用REST的信息去调整这是第一点这个作用我们可以调整的话或者是研计航空的手段差不多但是它有它的好点就是它该用是微信的所以它不会受一些广静的见识像我们应该说常用的容器的微服无论什么广静只要用的跑起来REST能够跑起来所以这是它基本上有效的一个点第二点就是它可以跟分层提高的动作之后进行肉运的夹材因为有些物质漏洞从爆发到有效解决方案之间是有中间有一个空装器的对空装器我们是没有非常根本性的进行方案如果无法拆开也无法生组建然后在这个时候我们就会用REST来进行肉运的一个打入这个肉运就可以有效的组断漏洞相关的是想到一些含蓄这样分层面就可以设定第三个实际运结论就是还是传说的就是有了肉运之后我们刚才那个上天后的这一套过程就是在实际运结论的情况那在整个的这个9月8日我们有几个底层的支撑工具下面简单一次说一下第一个要重要的就是NCA它最重要的货币就是RESTNCA呢很多朋友也都知道它就是能够分析的一个工具它够处理组建的信息然后组建的里面包含的货购以及一些改改的建议这都是它的工具这个C1C就是目前我们设定的我们看到的最高效率或者是包含的话基本上没有注意那第二个组成成组运呢就是INST我们说的都是INST或者说我们设定的意思它很重要的一点错误就是我们做APM去检测很多原生的朋友都知道在第三方的APM里面写出通信它就很有策论在第三方的APM处理说准备了一篇类进行完成下面一个生命目的就是REST当然提过它的进步变成跟INST非常像都是一段大难以往直入到我们的应用当中也可以直入到我们应用口运行的服务的这个服务器也是可以的那么它的货用跟IC不同是IC的更多的是发现风险发现路透跟IC的更多是做风险的防御或者说是做異常行为的防御和检测所以它更多应用在运营的就是我们删决生造帮我们解决生造那么简单再总结一下就是刚才这几个东西吐出来一样我们用中间这个圆的就是解决生造短暴的短暴的一个流程那从里面开始看就是上个这个工工链选的INST这是第一个结论就刚所说的路口反应我们要再过结论做工工端的选择这个设计算早时用安静就打AC来做因为我们很多采购的或者我们活动不干提供的这些都是地软的我们无法通过圆满来做检测所以安静就给AC用那第二个结论就是在开发这个我们用圆满就给AC帮助延长不改来做可能自己的图件成长那这两个结论都是生存SBAL的重要结论有的这两个结论是SBAL出版的SBAL我们底层的这个然后流感到后面就是在测试结论我们需要过ACI检测刚提到的一种ISD来做然后同时我们在上年前要做一次制程查查就是我们整个的在打包完之后再用RHSA再看一遍VAA在组织过程中可能要它回引入之前明文检测到了第三堂图件那同时我们要做出版自己的一个动作就是打上和插上打到运动流去这个时候就是外出的运动结断出了问题之后怎么解决的来做一个伏笔如果没有这一步后面运动结断就是去拿一些有效的适合然后到后面的运动再保持结断我们要做实际的分本监控这个就是我们要跟踪的情况就能相关联络一旦出了问题之后我们要做比如说我们要我们这个作业圈号发现一个新的乐观带身后叫打转的热步钉那帮助我们去消除这个痕迹链同时如果一旦发现了入侵或者危险行为比如说书歇落比如有人在入侵提小号然后我们就要用转或者进行有效的行为对这些行为进行完结过靠近转队有很好的错误就是它可以做寒树计算安捷所以它通常不会太影响我们实际业不像我们很多传统发案一要不然就是光线厉害这个业务非常重要要把这个彻底拥有这是它的一个有组织从后从后就是我们常常自己也知道是常常在直接发布的一款开源的IC网件叫OpenIC我们那也是有自己来开个车区如果各位有信心的话可以去下来试试我们在用IC里面也有这支S-Core的产品所以比较方便过去我们人员中的传统我们分享到这里就结束了谢谢大家还有那个非常感谢老师的那个训练演讲下面就一部这个卢杰我们就这么打那个啥就是我今天不是为了这个幻想举世就是说这个想要就是因为觉得这个S-Bomb这个安捷系统就是比较好你没什么看见S-Core后面那个功能还有这个功能它很光滑后面这个功能这下就这个安捷系统S-CoreS-CoreS-ToreS-ToreS-Tore你这么看是这个鞋前面那个S-Core是什么这个功能但是这个安捷系统是这样就是我们现在开比如安捷系统在这一块上那往后面后面我离开原但是我没有说一句话的如果你有兴趣可以跟我们自己我去再了解一下是这样就是因为刚才也提到整个的开源的安捷或者叫整个原生的安捷系统S-Core非常重要的一个技术说是那这个技术说是应用的长期现在大家是非常不够所以我们的想法是先把一个能够把S-Core简单生成的工具创出来那大家知道然后呢能够有其中能够对原生的这个就是他的样子他能期待的还不错但是呢因为实际上是压上一堂公司所以我们也所有的组织都看用了所以后面的一些这一块发案让朋友知道了就是我们可能就是要跟我们的这个商业航能够去做自学然后才能解决一个很难养的地方然后后面那个都有成功这一块的话这可以并约的吗这个让家里面听好的好的那谢谢那下面我们进入这个下一个话题就是就是这个就是下一个话题就是这个刚才我们出风高出风的这么讲的就是小伙伴去前脑台找他们要一起就是我们五个出包五二十五先去给您称号