直播回放 周幸：开源治理实践如何实现自动化和智能化落地（三）

直播回放 | 周幸：开源治理实践如何实现自动化和智能化落地（三）

具体谈谈这四个阶段流程。首先，什么是引入呢？企业自有的研发人员或者第三方供应商，在使用组件的过程中，无论从外部渠道引入还是从本地私服库引入，都属于引入流程。

其次，使用流程包含了编码阶段、持续集成和持续部署的阶段。

第三，运营流程。上线后对漏洞的预警和对漏洞的及时处理都属于运营环节。

第四，停止流程。当组件爆发漏洞的时候，定位这些组件，想办法进行及时的停止并同时更新，就属于停止流程。

所以整个开源治理的阶段流程与软件开发生命周期是可以在某些阶段进行融合的，后面我也会讲到如何进行结合

三、开源治理方案

在以上这些认知基础之上，接下来要展开整个开源治理的方案。

第一部分是组件分析，对应三个风险点中的第一个点。组件分析需要支持开发阶段、CI/CD阶段以及测试阶段，全流程对开源组件的检测，梳理并管控开源组件的信息，并从企业、部门、项目及任务等多角度分析组件的影响范围和依赖关系。为什么？一个简单的道理是，当漏洞出现，尤其是“0day”漏洞爆发，大家在第一瞬间的反应是什么？是要定位，要清楚地知道哪些部门、哪些项目组、哪些APP受影响。在此基础上，才会针对性地寻找适合的防护手段，选择是从网络层、主机层还是从应用层去做阻断和防护。基于多维度的依赖关系分析，通过自动化和智能化的工具去协助企业形成SBOM清单，从而在追溯的过程中，能够快速地定位受影响的组件。

第二部分是漏洞分析。漏洞的来源非常多，但是一般会要求漏洞信息兼容OWASP TOP10、国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）及CWE标准。同时我们也希望能够监控开源社区、漏洞情报中心等。将这些漏洞数据收集之后，通过数据的清洗、关联和匹配，再结合企业形成的组件SBOM清单和引擎进行实时地分析。这样做的好处在于，引擎端会实时地跟线上的情报中心进行同步，当产生“0day”漏洞的时候或者发现一个新的组件漏洞的时候，能够实时且及时地向用户告警。用户在此基础上可以找到受影响的组件。漏洞分析最重要的点就在于建立漏洞库、组件库以及特征库等，结合引擎，对SBOM清单，对组件进行实时分析。