安全從供應鏈開始,首屆DevSecOps敏捷安全大會成功舉辦
2021年7月21日,中國首屆DevSecOps敏捷安全大會(DSO 2021)在北京成功舉辦,大會以“安全從供應鏈開始”為主題,寓意安全基礎決定上層建筑,在云原生環境下為軟件供應鏈注入覆蓋全流程的安全屬性,從源頭做風險治理。DSO 2021由中國信息通信研究院指導,DevSecOps敏捷安全領導者懸鏡安全主辦,騰訊安全協辦,現場逾300位權威學者、安全專家、生態伙伴、技術精英齊聚一堂,近20個議題,直擊軟件供應鏈安全復雜場景中涉及的管理、流程、技術、工具等問題,為安全產業發展提供創新源動力。
圖:中國信通院云大所副所長栗蔚女士發表歡迎致辭
中國信通院云大所副所長栗蔚女士蒞臨首屆DevSecOps敏捷安全大會并發表歡迎致辭,她表示:“經過多年的發展,DevSecOps貫穿全流程的研發運營安全理念已經深入人心,得到了廣泛的認可。安全左移,從軟件需求設計早期便考慮安全,從源頭處提升安全能力,已被證明可以有效地、低成本地解決大量現存的安全問題,全面提升應用服務的整體安全能力,助推數字經濟的整體發展。DevSecOps敏捷安全大會的舉辦,為聚集行業智慧、為創新思維交流提供了非常好的平臺。” 栗蔚女士在致辭當中對DevSecOps發展趨勢予以充分的數據說明,側重分享了DevSecOps研發運營發展當前所呈現的特點,重點強調DevSecOps產業市場的發展潛力巨大。
圖:中國工程院院士沈昌祥先生發表主題演講
中國工程院院士沈昌祥先生也做客DSO 2021大會現場,并從國家政策和網絡環境的宏觀角度,與現場觀眾分享了如何打造安全可信軟件產業新生態的探索。在沈院士的演講中,詳細介紹了主動免疫可信計算“安全可信體系框架”的六大要素,強調安全可信計算實施運算同時進行免疫的安全防護,使存在的缺陷不被攻擊者利用,來達到預期的計算目標。按國家網絡安全法律、戰略及等保制度構建主動免疫防護的新體系,用中國自主創新安全可信體系解決受制于人的問題。
圖:懸鏡安全創始人兼CEO子芽先生發表歡迎致辭并做技術分享
DSO 2021主辦方懸鏡安全創始人兼CEO子芽先生向現場與會者做歡迎致辭,并表示:“對于大會的創立初心,我們希望在敏捷安全的實踐過程中,搭建一個匯集行業用戶、產業智庫、安全媒體及技術廠商的DevSecOps生態交流平臺,能夠讓大家齊鳴、共舞。”在技術分享的重點環節,他也就DevSecOps敏捷安全技術的未來技術演進趨勢做了深度分享,并明確提出,上線前異常行為代碼的檢測、基于威脅的安全測試及RASP自適應威脅免疫技術,會成為接下來業界在現代應用風險治理方面的一個新方向。
圖:《軟件供應鏈安全白皮書(2021)》發布
作為本次大會的重磅環節,由中國信通院與懸鏡安全聯合編撰的《軟件供應鏈安全白皮書(2021)》于會議現場發布,中國信通院云大所副所長栗蔚女士與懸鏡安全創始人兼CEO子芽先生共同啟動白皮書發布儀式。
圖:懸鏡安全首席運營官董毅先生對《軟件供應鏈安全白皮書(2021)》進行解讀
懸鏡安全首席運營官董毅先生對白皮書進行解讀,著重闡述了軟件供應鏈的定義、生態,以及目前存在的主要攻擊類型。董毅先生以懸鏡安全社群調研數據為例,展示了當前組織中安全人員修復已知漏洞所耗費的時間成本,重點強調了在缺陷管理中SBOM(軟件物料清單)的重要性,以及在白皮書中首次公開的軟件供應商評估模型與管理流程。
圖:中國信通院云大所云計算部副主任郭雪女士解讀IAST標準
作為DSO 2021大會出品人之一,中國信通院云大所云計算部副主任郭雪女士于現場進行了首次公開的《交互式應用程序安全測試工具能力要求》(IAST)標準解讀。她表示,信通院之所以會制定IAST的標準,原因在于業內對研發安全的認知尚處于初級階段,而通過數據顯示,在設計和研發階段關注安全問題,使安全左移,能有效節約成本高達上百倍。IAST在整個安全工具的標準中處于重要位置,相較于較早的SAST及DAST工具有明顯優勢。郭雪女士于會上對所制定IAST工具能力的具體要求進行了詳細的深度解讀。
圖:圓桌論壇,嘉賓從左至右依次為:
主持人——北京賽博英杰科技有限公司創始人、正奇學院創辦人、業內資深安全專家譚曉生先生;
嘉賓——騰訊科技安全產品規劃總監程文杰先生;華為技術有限公司華為云安全工程專家孫志敏先生;青藤云安全技術副總裁張嵩先生;懸鏡安全首席技術官寧戈先生
在圓桌討論環節,主持人與四位安全領域專家共同圍繞“快時代下的軟件供應鏈安全”主題進行觀點分享。主持人北京賽博英杰科技有限公司創始人、正奇學院創辦人,業內資深安全專家譚曉生先生,與騰訊科技安全產品規劃總監程文杰先生、華為技術有限公司華為云安全工程專家孫志敏先生、青藤云安全技術副總裁張嵩先生,以及懸鏡安全首席技術官寧戈先生四位嘉賓,就當前軟件快速迭代與數字化轉型大背景下的供應鏈安全,共同探討了各位嘉賓所在企業的安全風險治理最佳實踐經驗、組織內安全意識培訓與安全項目推動方式、云原生環境下的軟件供應鏈安全保障工作變化、容器與傳統虛機相比安全能力要求的不同等問題。
除上述議題外,中國電信研究院資深安全專家游耀東先生、青藤云安全聯合創始人兼產品副總裁胡俊先生、匯豐科技中國證券服務科技部DevSecOps負責人周紀海先生、騰訊科恩實驗室高級安全研發工程師張文凱先生、平安壹錢包DevSecOps負責人汪永輝先生、華泰證券應用與業務安全團隊負責人莊飛先生、騰訊安全平臺部高級安全研究員范傳輝先生、北京中測安華科技有限公司安全運營部總監姚原崗博士,及騰訊云CODING高級產品經理俞典女士,分別在本屆大會上就DevSecOps和軟件供應鏈安全的體系建設與實踐經驗做了精彩分享,合力為相關安全從業者打造了一場以敏捷安全為主題的技術盛宴。
為期一天的首屆DevSecOps敏捷安全大會圓滿落幕,作為大會出品人,懸鏡安全創始人兼CEO子芽先生為本屆大會送上寄語:“上善若水,水利萬物而不爭。希望從DSO 2021起,我們能攜手行業創新力量,持續共建一個普惠的DevSecOps生態。”
