淺談外包安全開(kāi)發(fā)管控

時(shí)間：2023-04-20 12:00:02 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-04-20 12:00:02 來(lái)源：網(wǎng)站運(yùn)營(yíng)

淺談外包安全開(kāi)發(fā)管控：前陣子有篇文章叫《史上最坑爹外包！花費(fèi)2億耗時(shí)2年，網(wǎng)站至今未交付》的熱文在IT圈刷了屏，講的是世界頂級(jí)咨詢公司埃森哲為美國(guó)汽車租賃公司赫茲開(kāi)發(fā)新網(wǎng)站和移動(dòng)應(yīng)用程序的外包項(xiàng)目爛尾了，后者無(wú)奈之下訴諸公堂，從而讓這個(gè)驚天大瓜暴露在世人面前，我們注意到，該項(xiàng)目代碼存在影響面極廣的嚴(yán)重安全漏洞，也讓其難以投入使用。

一說(shuō)到外包開(kāi)發(fā)項(xiàng)目中的安全問(wèn)題，相信找過(guò)外包開(kāi)發(fā)商開(kāi)發(fā)項(xiàng)目的同學(xué)再熟悉不過(guò)了，外包開(kāi)發(fā)項(xiàng)目的安全漏洞不僅多，而且還經(jīng)常是越權(quán)訪問(wèn)、SQL注入、文件上傳、代碼注入等高危漏洞，因此今天本文來(lái)談?wù)勍獍_(kāi)發(fā)存在的意義、外包開(kāi)發(fā)中的安全風(fēng)險(xiǎn)與應(yīng)對(duì)解決方案。

外包開(kāi)發(fā)存在的意義


外包開(kāi)發(fā)是IT服務(wù)外包的一種子類，實(shí)質(zhì)還是基于企業(yè)與IT外包服務(wù)提供者之間的委托代理關(guān)系，由前者提出開(kāi)發(fā)需求與系統(tǒng)設(shè)計(jì)后，由后者提供應(yīng)用程序或者系統(tǒng)開(kāi)發(fā)的服務(wù)。

首先，隨著企業(yè)對(duì)核心競(jìng)爭(zhēng)力的重視，越來(lái)越多的企業(yè)將IT服務(wù)外包作為一種新的長(zhǎng)期戰(zhàn)略成本管理工具，用來(lái)消除不屬于核心業(yè)務(wù)的干擾分支。企業(yè)需要重新定位，截?cái)鄡r(jià)值鏈中較短的部分，縮小經(jīng)營(yíng)范圍。在此基礎(chǔ)上，需要對(duì)企業(yè)的各種資源進(jìn)行重新配置，將資源集中于最能體現(xiàn)企業(yè)優(yōu)勢(shì)的領(lǐng)域，從而更好地構(gòu)建競(jìng)爭(zhēng)優(yōu)勢(shì)，從而獲得可持續(xù)發(fā)展的能力，這對(duì)于企業(yè)核心資源的長(zhǎng)遠(yuǎn)發(fā)展有著重要的意義，可實(shí)現(xiàn)“成本控制”和“管理效益”的有效兼顧。

其次，對(duì)于一些非核心系統(tǒng)或者應(yīng)用，企業(yè)采用自行開(kāi)發(fā)的方式成本過(guò)高，或者對(duì)于一些需要前沿技術(shù)的產(chǎn)品，企業(yè)自身并不具備成熟的開(kāi)發(fā)能力，因此選擇外包開(kāi)發(fā)是其平衡成本與效益的最佳選擇。

再者，在移動(dòng)互聯(lián)網(wǎng)蓬勃發(fā)展、全民互聯(lián)網(wǎng)創(chuàng)業(yè)的風(fēng)潮之下，對(duì)于那些自身沒(méi)有開(kāi)發(fā)能力的創(chuàng)業(yè)者，如果從0構(gòu)建開(kāi)發(fā)能力則需要太多投入，一方面是業(yè)務(wù)緊迫性不允許，另一方面即便投入了也不見(jiàn)得比專業(yè)外包做的更好，所以他們選擇了外包開(kāi)發(fā)。

外包開(kāi)發(fā)安全風(fēng)險(xiǎn)


來(lái)自國(guó)外的報(bào)告顯示，56%的企業(yè)數(shù)據(jù)泄露都源自第三方供應(yīng)商，42%的企業(yè)都因?yàn)榈谌焦?yīng)商遭遇攻擊而出現(xiàn)數(shù)據(jù)泄露。前不久，F(xiàn)aceBook還因?yàn)榈谌綌?shù)據(jù)泄露而再次成為眾矢之的。因此，為了保護(hù)企業(yè)數(shù)據(jù)安全，企業(yè)不僅要抵御自身所面臨的內(nèi)外部安全威脅，還要進(jìn)行第三方風(fēng)險(xiǎn)管理（TPCRM）。這里所說(shuō)的TPCRM，對(duì)應(yīng)今天我們討論的外包開(kāi)發(fā)安全風(fēng)險(xiǎn)管理。

外包開(kāi)發(fā)模式分類

簡(jiǎn)單而言，按照代碼部署場(chǎng)景、協(xié)作模式，目前的外包開(kāi)發(fā)模式可以分成三類，分別是駐場(chǎng)式、遠(yuǎn)程式和完全獨(dú)立式，它們?cè)陂_(kāi)發(fā)過(guò)程中所面臨的安全風(fēng)險(xiǎn)或者甲方安全能力覆蓋上都存在很大不同。

駐場(chǎng)式

外包公司通過(guò)勞務(wù)派遣的方式或者臨時(shí)辦公的方式安排其員工到甲方辦公地點(diǎn)進(jìn)行服務(wù)，入駐到甲方產(chǎn)品或開(kāi)發(fā)團(tuán)隊(duì)之中，這種模式下甲方的風(fēng)險(xiǎn)控制程度最高，因?yàn)榇藭r(shí)必須遵循甲方的辦公、開(kāi)發(fā)、測(cè)試、發(fā)布流程規(guī)范，整個(gè)CI/CD的流程與環(huán)境都為甲方所控制，同時(shí)也處于甲方安全能力覆蓋范圍，相對(duì)而言，這種情況下安全風(fēng)險(xiǎn)最小。

遠(yuǎn)程式

外包公司員工在其辦公環(huán)境下完成代碼開(kāi)發(fā)、測(cè)試，然后通過(guò)公共代碼倉(cāng)庫(kù)或者其他在線文件系統(tǒng)或存儲(chǔ)系統(tǒng)進(jìn)行代碼共享，由甲方完成代碼的部署和系統(tǒng)運(yùn)維或者合并到其主代碼分支中，再由甲方完成代碼部署與系統(tǒng)運(yùn)維，這種模式下，甲方的風(fēng)險(xiǎn)控制程度相對(duì)較高，整個(gè)CI/CD的流程與環(huán)境都為甲方所控制，同時(shí)也處于甲方安全能力覆蓋范圍，但是無(wú)論合同中如何約定代碼所有權(quán)，代碼都會(huì)為外包公司所接觸，而且代碼共享路徑經(jīng)常需要對(duì)外網(wǎng)開(kāi)放，這也為代碼泄露留下口子。相對(duì)而言，如果外包公司有成熟的安全管控流程、代碼共享路徑進(jìn)行有效的身份驗(yàn)證和訪問(wèn)控制，這種情況下安全風(fēng)險(xiǎn)較小。

完全獨(dú)立式

外包公司獨(dú)立完成代碼開(kāi)發(fā)、測(cè)試、發(fā)布，整個(gè)CI/CD流程為其控制，雖然線上運(yùn)行環(huán)境不一定為外包公司控制，甲方可能只是配合域名指向或者品牌資源使用申請(qǐng)，但可以看到甲方對(duì)此風(fēng)險(xiǎn)控制程度非常弱，這種合作模式下的安全風(fēng)險(xiǎn)往往是極高的，因?yàn)榧追桨踩芰靖采w不到，其成熟的發(fā)布流程也一定管控到。

針對(duì)以上三種外包開(kāi)發(fā)模式，結(jié)合業(yè)界或新聞披露的安全風(fēng)險(xiǎn)，大概可以分成以下幾類：

風(fēng)險(xiǎn)列表

· 敏感信息泄露：最常見(jiàn)的是調(diào)試模式未關(guān)閉、源碼壓縮包放在web根目錄、版本控制文件.git/.svn等文件放在根目錄，或者外包開(kāi)發(fā)人員將源碼上傳第三方倉(cāng)庫(kù)外泄或者個(gè)人電腦中毒或被入侵導(dǎo)致甲方源碼、數(shù)據(jù)泄露。

· 高危漏洞高可能性：外包開(kāi)發(fā)通常使用開(kāi)源開(kāi)發(fā)框架，這類框架往往漏洞頻發(fā)，很容易被批量利用，而且也經(jīng)常出現(xiàn)高危漏洞，常見(jiàn)的如服務(wù)端任意文件下載、SQL 注入、客戶端組件暴漏和敏感信息泄露漏洞等，可以拉取數(shù)據(jù)庫(kù)信息或者入侵服務(wù)器。另外，開(kāi)發(fā)商代碼架構(gòu)、質(zhì)量一般，更容易產(chǎn)生漏洞，或者在對(duì)用戶可控輸入的限制上存在遺漏。

· 敏感信息竊?。褐俺霈F(xiàn)過(guò)銀行外包開(kāi)發(fā)商違規(guī)收集用戶信息或者甲方業(yè)務(wù)數(shù)據(jù)。

· 埋入后門：外包開(kāi)發(fā)人員故意留邏輯后門等

· 漏洞分布的廣泛性：由于外包團(tuán)隊(duì)的代碼復(fù)用，一旦在某個(gè)外包開(kāi)發(fā)的系統(tǒng)出現(xiàn)漏洞，很大可能也能在其開(kāi)發(fā)的其他系統(tǒng)找到相同或類似漏洞，另外，外包開(kāi)發(fā)商一旦被黑，其客戶源碼、數(shù)據(jù)也會(huì)泄露。

原因剖析

· 外包公司自身的安全管理水平較低、安全運(yùn)維能力不足，對(duì)于完全獨(dú)立式的外包開(kāi)發(fā)模式而言極易出現(xiàn)安全漏洞

· 外包公司員工安全技能和安全意識(shí)不足，可能本身外包公司對(duì)員工自身能力建設(shè)重視程度不高，也讓其員工失去提升安全意識(shí)與技能的機(jī)會(huì)

· 模板式開(kāi)發(fā)模式，換言之就是復(fù)制粘貼式的開(kāi)發(fā)，自定義組件化程度往往不高，代碼安全質(zhì)量沒(méi)有保障

外包開(kāi)發(fā)安全風(fēng)險(xiǎn)管理


下面從組織架構(gòu)、流程管控和技術(shù)賦能三個(gè)方面淺談外包開(kāi)發(fā)安全風(fēng)險(xiǎn)管理，其中大部分已經(jīng)在國(guó)內(nèi)大中型IT企業(yè)或多或少落地了。

組織層面

· 確定外包管理的目標(biāo)，明確外包的總體原則，建立企業(yè)層面的信息科技外包安全防控架構(gòu)，完善外包管理組織體系和制度體系，這種比較適合大型金融、通信、制造、互聯(lián)網(wǎng)等行業(yè)的企業(yè)，由于外包項(xiàng)目多、外包開(kāi)發(fā)商也多，需要在公司組織架構(gòu)上予以重視。比如規(guī)劃、建設(shè)獨(dú)立的外包管理團(tuán)隊(duì)，讓制訂從上而下的外包項(xiàng)目管理流程獲得組織基礎(chǔ)。

流程層面

· 合同約束 在與外包開(kāi)發(fā)商的合同中是否有安全要求？這些外包開(kāi)發(fā)商是否需要標(biāo)準(zhǔn)來(lái)遵循安全開(kāi)發(fā)生命周期？他們是否對(duì)系統(tǒng)開(kāi)發(fā)生命周期和如何安全地編碼接受過(guò)培訓(xùn)？外包開(kāi)發(fā)商對(duì)代碼中的漏洞和泄漏敏感信息是否承擔(dān)責(zé)任？一旦發(fā)現(xiàn)漏洞被利用是否需要開(kāi)展應(yīng)急響應(yīng)？如果這些要求都沒(méi)有在合同中規(guī)定，那么，在未來(lái)合同中應(yīng)該增加這些條款，并且，現(xiàn)有合同應(yīng)該進(jìn)行修訂來(lái)涵蓋這些條款。

· 按照外包類型分類管理，針對(duì)不同類型的外包，建立包含安全資質(zhì)、安全管理和安全運(yùn)維能力的評(píng)估在內(nèi)的全生命周期管理的機(jī)制，以及外包安全管理效果衡量機(jī)制。主要有以下考量：

o 信息安全管理資質(zhì)評(píng)估[BSI安全認(rèn)證審核、ISO27001認(rèn)證]

o 安全管理（制度流程完備性、信息安全管控情況、安全意識(shí)教育、風(fēng)險(xiǎn)控制能力）

o 安全運(yùn)維（安全編碼規(guī)范、安全應(yīng)急響應(yīng)流程、權(quán)限控制）

o 確認(rèn)、審查合作方的網(wǎng)絡(luò)安全策略、技術(shù)，以及相關(guān)的實(shí)踐和案例

日?；顒?dòng)規(guī)范的建立：服務(wù)變更控制；服務(wù)人員管理；安全事件處理；業(yè)務(wù)持續(xù)管理。

信息安全管控內(nèi)容

最低標(biāo)準(zhǔn)

檢查辦法

--

1．有針對(duì)源代碼及其他敏感信息的保密措施，包括信息訪問(wèn)授權(quán)審批、保存、銷毀等管理流程。

公司提供蓋章的有關(guān)制度和執(zhí)行記錄

--

2.過(guò)去三年沒(méi)有發(fā)生過(guò)信息泄密事件。

公司提供蓋章說(shuō)明、公開(kāi)信息檢索

--

3.與員工簽訂保密協(xié)議，且保密責(zé)任不因員工離職而解除。

公司協(xié)議模板和執(zhí)行記錄

· 走統(tǒng)一招投標(biāo)流程，通過(guò)更透明、統(tǒng)一的準(zhǔn)入流程讓更重視安全質(zhì)量的開(kāi)發(fā)商獲得公平機(jī)會(huì)。

· 確認(rèn)第三方可以訪問(wèn)的數(shù)據(jù)/系統(tǒng)；確認(rèn)企業(yè)與第三方共享的信息、資產(chǎn)情況；

項(xiàng)目為非重要信息系統(tǒng)的編碼和測(cè)試外包，所有生產(chǎn)數(shù)據(jù)經(jīng)過(guò)脫敏后方可用于開(kāi)發(fā)測(cè)試環(huán)境，外包商無(wú)法接觸敏感信息。避免IT服務(wù)人員接觸組織的核心系統(tǒng)信息，降低了IT服務(wù)外包對(duì)IT系統(tǒng)敏感部分帶來(lái)的安全風(fēng)險(xiǎn)。

技術(shù)層面

· 設(shè)置持續(xù)性的合作方網(wǎng)絡(luò)安全監(jiān)控基線

合作生命周期內(nèi)持續(xù)監(jiān)管、持續(xù)驗(yàn)證，比如加強(qiáng)對(duì)業(yè)務(wù)異常的監(jiān)控和分析

· 加強(qiáng)對(duì)外包開(kāi)發(fā)人員的安全意識(shí)和技能培訓(xùn)

比如外包人員須參加安全培訓(xùn)與考試，達(dá)標(biāo)后方可進(jìn)行開(kāi)發(fā)，將代碼漏洞率等作為項(xiàng)目結(jié)項(xiàng)考評(píng)的要素， 安全編碼規(guī)范可以參考OWASP安全編碼指南

· 完善和細(xì)化安全測(cè)試方法、測(cè)試用例，投產(chǎn)前進(jìn)行嚴(yán)格的安全測(cè)試，上線后進(jìn)行周期性測(cè)試，更具體的做法有：

o 上線前安全自檢：自查checklist

o 上線前漏洞掃描與安全審計(jì)：這里需要區(qū)分環(huán)境，如果代碼的測(cè)試、運(yùn)營(yíng)環(huán)境在甲方中，可以接入甲方的漏洞掃描系統(tǒng)進(jìn)行自動(dòng)掃描，否則，如開(kāi)發(fā)商有條件可以自行進(jìn)行漏洞掃描，也可以通過(guò)授權(quán)讓甲方的安全能力進(jìn)行覆蓋，同時(shí)提供測(cè)試環(huán)境、源碼，配套提供軟件設(shè)計(jì)文檔和使用指南，給甲方安全團(tuán)隊(duì)進(jìn)行代碼審計(jì)，審計(jì)是否存在安全漏洞或者后門、隱蔽通道等惡意代碼 。當(dāng)然，安全審計(jì)需要考慮人工成本，如果甲方能夠提供自動(dòng)化審計(jì)手段，則可以覆蓋到每次變更發(fā)布，否則以大版本更新為控制力度

o 對(duì)外包開(kāi)發(fā)的代碼進(jìn)行安全審計(jì)，特別是登錄、轉(zhuǎn)賬等重要業(yè)務(wù)場(chǎng)景需要重點(diǎn)審計(jì)

· 代碼發(fā)布和系統(tǒng)上線流程管控

按服務(wù)器環(huán)境是否為甲方可控分類，如可控則業(yè)務(wù)變更須由甲方操作，包括：測(cè)試環(huán)境測(cè)試、發(fā)布上線，否則要有審批機(jī)制，外包或合作開(kāi)發(fā)的Web應(yīng)用建議部署在甲方安全能力覆蓋范圍內(nèi)，如默認(rèn)未能覆蓋可通過(guò)授權(quán)的方式申請(qǐng)覆蓋

· 權(quán)限控制（系統(tǒng)管理、數(shù)據(jù)訪問(wèn)、環(huán)境變更）

不開(kāi)放系統(tǒng)管理類權(quán)限；不開(kāi)放變更權(quán)限，如果必須開(kāi)放變更權(quán)限，實(shí)際變更時(shí)須參考甲方的發(fā)布變更驗(yàn)收標(biāo)準(zhǔn)做驗(yàn)收和記錄

· 審計(jì)機(jī)制

對(duì)應(yīng)用系統(tǒng)或者主機(jī)訪問(wèn)日志、操作記錄進(jìn)行留存，通過(guò)自動(dòng)化方式或者周期性review的方式進(jìn)行審計(jì)

參考資料


淺談移動(dòng)金融業(yè)務(wù)外包開(kāi)發(fā)中的信息安全風(fēng)險(xiǎn)

金融企業(yè)外包安全管理

酒店業(yè)IT系統(tǒng)外包的安全風(fēng)險(xiǎn)（以華住數(shù)據(jù)泄露為視角）

如何做好外包項(xiàng)目驗(yàn)收