懸鏡安全、OpenSCA創始人子芽10年沉淀首次公開

10位學術界和企業界權威安全專家聯袂推薦 

內容簡介：這是一本體系化講解DevSecOps敏捷安全的實戰性著作，為企業應對軟件開發方式敏態化與軟件供應鏈開源化帶來的安全挑戰提供了解決之道，它能有效指導企業快速將安全能力完整嵌入整個DevOps體系，在保證業務研發效能的同時實現敏捷安全內生和自成長。

7月26日下午，由懸鏡安全主辦、OpenSCA社區協辦的“又見DSO 2022，子芽《DevSecOps敏捷安全》新書發布會”在北大博雅國際酒店成功舉行。網絡安全圈的一眾博雅之士相聚一堂，以書為媒，與新書作者即懸鏡安全創始人兼CEO、OpenSCA社區創始人子芽共話行業新技術、新趨勢。

本次發布會由新書出版單位機械工業出版社資深主編楊福川老師親自主持。中國信息通信研究院云計算與大數據研究所開源和軟件安全部副主任郭雪、中興通訊開源合規與安全治理總監項曙明、平安壹錢包安全DevSecOps運營負責人汪永輝作為嘉賓出席。中國信息安全、InfoQ、安全牛、網絡安全與數據治理、網絡安全和信息化、嘶吼新媒體、雷鋒網、淺黑科技、億歐網等二十余家主流媒體到場參加、踴躍提問并聚焦發布會內容進行了深度報道。 

 點擊觀看???又見DSO 2022”子芽《DevSecOps敏捷安全》新書發布會集錦??

十年沉淀，厚積薄發

子芽發表“DevSecOps敏捷安全體系淺談”主題演講

發布會伊始，北京大學計算機學院教授/網絡信息安全實驗室主任陳鐘、正奇學苑及璟泰創投創始人譚曉生、中國電信研究院安全技術研究所所長何國鋒、國網湖南電力網絡安全技術首席工程師田錚、CODING創始人&CEO張海龍、道客網絡首席安全官張嵩、看雪學苑創始人段鋼、開源中國&Gitee創始人兼CTO紅薯等諸多大咖通過視頻或蒞臨現場的方式再次推薦了新書《DevSecOps敏捷安全》并對本次活動送上誠摯祝福。

隨后，子芽在主題為“DevSecOps敏捷安全體系淺談”的演講中，全面梳理了云原生時代面臨的數字化安全風險與挑戰并重點講解了其新書的部分核心內容。

子芽認為，數字經濟時代，軟件定義萬物并已經成為保障社會正常運轉的基本組件，然而現代軟件飽受開源成分缺陷、Web通用漏洞、業務邏輯漏洞、異常行為代碼等潛在安全風險面的威脅。而且隨著新制品（開源主導）、新發布（DevOps研運一體化）、新技術（微服務架構）、新環境（容器化）的出現，企業組織競相擁抱業務上云、組織上云的云原生時代，使得數字化應用風險面、軟件供應鏈安全范圍有了較大的外延。 

子芽主題演講現場

子芽指出，在新書《DevSecOps敏捷安全》中，由懸鏡安全原創并首次提出的新一代DevSecOps敏捷安全體系，正是防范和應對現代軟件全生命周期風險最為合適的實戰抓手。通過在金融、能源、泛互聯網等行業的廣泛實踐，該體系被證明不僅適用于DevOps敏態開發環境，而且能應用于軟件供應鏈安全和云原生安全場景。子芽在演講中詳細介紹了DevSecOps敏捷安全體系的核心內涵，并從文化、流程、技術、度量這四個維度梳理了整個體系框架。

演講至最后，子芽對DevSecOps敏捷安全技術演進趨勢進行了前瞻性的解讀，并分享了懸鏡在該領域的前沿研究成果——基于單探針的代碼疫苗技術和DevSecOps敏捷安全技術金字塔V2.0。

??懸鏡安全創始人&CEO子芽（左）與機械工業出版社資深主編楊福川（右）共同為《DevSecOps敏捷安全》新書揭幕??

產學研用，又見DSO 2022

子芽《DevSecOps敏捷安全》新書專題討論

現場嘉賓基于子芽新書和主題演講內容，與子芽一道就DevSecOps相關熱點話題進行了圓桌討論并分享了各自的行業洞察與實踐成果。

在中國信通院云計算與大數據研究所開源和軟件安全部副主任郭雪看來，DevSecOps近年來之所以受到廣泛關注，在于其“安全左移”的實踐思想完美契合云原生安全理念，即將安全和技術架構體系進行深度融合。她還特別提到，子芽創作的這本《DevSecOps敏捷安全》對整個產業的研究和標準化工作起到了十分積極的推動作用，既指引了產業發展方向，又能切實指導企業高效落地實踐DevSecOps。

身為中興通訊開源合規與安全治理總監，項曙明重點談到了DevSecOps在軟件供應鏈安全領域不可或缺的作用。他表示，在業務快速交付和產品快速迭代的前提下，如何對軟件的開源成分進行溯源、如何通過治理使原生的開源組件變得安全可信、如何確保開源軟件的安全合規，是企業乃至國家面臨的挑戰。而DevSecOps對解決軟件供應鏈安全問題能起到極大的作用，因此他認為子芽《DevSecOps敏捷安全》一書中的相關內容能給企業帶來啟發。

汪永輝作為平安壹錢包安全DevSecOps運營負責人，在落地實踐方面有豐富的經驗。他認為，一次里程碑事件能成為在企業內部推廣DevSecOps的契機，以平安壹錢包為例，IAST技術的成功引入，使安全部門被認可，進而營造起一種安全文化氛圍，之后的流程和工具鏈的搭建乃至DevSecOps體系的建立就變得順理成章了。當然在此過程中，不可避免會遇到技術上的阻力，這時便可以參考《DevSecOps敏捷安全》這樣專業的著作或依靠懸鏡這樣優質的供應商。

子芽《DevSecOps敏捷安全》新書專題討論現場

聚焦DevSecOps敏捷安全

子芽答記者問環節精彩回顧

安全牛：您創作這本書的初衷是什么？

子芽：創作的初衷也寫在本書的前言中。我始終記得上學時導師的寄語：“如果把人類現有的認知實踐比作一個圈，那么當博士畢業時，我們的研究實踐成果至少可以帶領人類從這個圈向外再踏出一步。”我和懸鏡團隊多年來一直堅持這樣的創業初心，憑借多年技術沉淀，在DevSecOps賽道已達到國際先進水平，有能力代表中國在該領域的技術力量向世界發出最強聲。所以創作和出版這本《DevSecOps敏捷安全》，既是為了分享懸鏡多年沉淀的技術實踐成果，也是有感于用戶才是懸鏡最好的產品經理，希望將一些領域或者場景下的最佳解決方案反饋給更多行業的用戶，便于他們學習和參考。 

安全牛媒體分析師徐曉麗

中國信息安全：這本書適合哪些人群閱讀，對他們有什么具體幫助，您能否提供一些閱讀這本書的指導方法？

子芽：DevSecOps要求安全共擔，即安全跟參與數字化應用任一相關環節的人都有關系，所以我希望這本書能出圈，幫助到更多人。具體而言，企業內由上而下，從CEO、CTO、CIO等核心高管到安全負責人再到技術人員，學校里的老師和學生，都是其讀者受眾。這本書共分為五個部分，由淺入深，從0到1再到進階，能不同程度上對上述人群賦能。

中國信息安全記者邱辰杰

嘶吼新媒體：剛才注意到有嘉賓提及這本書在一定程度上填補了國內外相關領域的空白，您對此作何評價？

子芽：我在創作的過程中也一直在思考這本書能為業界乃至整個社會帶來的影響。我認為有三點：第一，這本書第一次在全球范圍系統化構筑和梳理了一套完整的能實戰落地的安全框架——DevSecOps敏捷安全體系；第二，硬科技的創新是推動社會進步的關鍵驅動力，同時，科技的普惠化也尤為重要，而這本書正是將懸鏡多年來沉淀的原創前沿技術和創新理論認知體系化分享出來；第三，這本書在實戰層面不僅聚焦國內金融、泛互聯網等行業的最佳實踐，還關注美國國防部、Netflix、Salesforce等國際上的最佳實踐。

嘶吼新媒體記者單瑞映

網絡安全和信息化：DevSecOps敏捷安全體系的建設涉及文化、流程、技術、度量，您覺得企業在具體實施的時候，從哪一個點切入比較高效？

子芽：DevSecOps敏捷安全有兩大理念，一是以人為本，技術驅動，二是同步規劃、同步構建、同步運營。因而，自動化的技術支撐包括敏捷安全工具鏈以及配套的全流程平臺是落地實踐過程中比較關鍵的；此外還有關鍵一點，在文化層面，要獲得高層支持，達成安全責任共擔的意識。

網絡安全和信息化記者趙志遠

淺黑科技：安全廠商、企業用戶該如何看待DevSecOps敏捷安全的新技術、新趨勢，例如代碼疫苗技術？

子芽：企業在進行安全建設的時候，沒有最好只有最匹配。DevSecOps的落地實踐是分階段且柔和的，即所謂潤物細無聲。對于新技術，企業需要考慮自身安全建設不同階段的需求，其是否能解決實際問題，以及該技術在市場應用推廣的節奏和商業模式。懸鏡的代碼疫苗技術通過單探針，在安全左移階段，利用IAST精準覆蓋95%以上中高危漏洞，有效防止應用帶病上線；在上線后常態化運營階段，利用RASP為應用提供內生主動安全免疫能力。經過幾年的沉淀和打磨，探針在穩定性、語言的兼容性、運行時性能損耗等方面均滿足企業用戶的嚴苛要求。

淺黑科技創始人史中

InfoQ：To B行業現在的增長模式是產品驅動，作為DevSecOps領導廠商的創始人，您肯定也肩負著推動行業發展的社會責任，那么如何在推動行業發展的同時兼顧企業戰略布局？

子芽：創業過程挫折不斷，支撐懸鏡最終爬起來的根本力量在于對技術和事業的深度熱愛。所以在我看來，推動行業發展和引領懸鏡成為中國軟件供應鏈安全治理與運營的中堅力量是并行不悖的。

InfoQ總編輯王一鵬

網絡安全與數據治理：從“未名湖畔”逐夢到“懸鏡安全”筑夢，從“動心起念”到“知行合一”，子芽一直在踐行作為網絡安全科研技術從業人員的民族使命與擔當，那么，可否分享一下在經營企業或者撰寫《DevSecOps敏捷安全》這本書過程中，給您帶來最大的收獲或者啟發？

子芽：北大的文化以及我深造時所處實驗室的文化都教會了我心要自由。心要自由便敢于去突破，這賦予了我創業的勇氣。在創業的過程中，我和懸鏡團隊洞察到行業乃至國家對軟件供應鏈和云原生中敏捷安全的需求，并通過努力走在了該領域的前沿，便順勢而為將沉淀的經驗成果通過這本書分享給所有人。

我認為，作為安全廠商，在快速發展過程中要聚焦于自身核心領域。以懸鏡為例，在創業過程便中深度聚焦4個“一”的核心能力：一個運行時單探針、一項代碼疫苗技術、一套積極防御框架、一套敏捷安全體系。此外，企業發展需要聯動緊密的上下游生態。懸鏡正在做的一些嘗試，比如和DevOps平臺、中間件廠商、咨詢機構進行深度的合作，初衷也是為用戶提供更好的產品和服務體驗。

網絡安全與數據治理主任于寅虎

贈人玫瑰，手留余香

子芽新書簽贈儀式環節回顧

活動臨近尾聲，子芽簽名贈書給現場的每一位嘉賓和媒體朋友，并與大家合影留念。

子芽新書簽贈儀式現場 

活動結束之后，有媒體坦言從子芽的這次新書發布會收獲了行業前沿研究成果，加深了他們對DevSecOps這一新興賽道的認知，相信這本新書能幫助推動DevSecOps敏捷安全成熟生態圈的建立。 

子芽與現場媒體（部分）合影留念 

《DevSecOps敏捷安全》作者簡介：子芽，懸鏡安全創始人兼CEO，OpenSCA開源社區創始人，中國信通院軟件供應鏈安全社區首席安全專家，DSO敏捷安全大會出品人，ISC十周年代表性人物，擁有10年以上前沿安全技術研究實踐經驗，具有國際視野和工程綜合創新能力的高端科技領軍人才。長期從事AI深度學習算法在持續威脅評估領域的研究，擁有多項原創發明專利授權，曾承擔國家級重大網絡安全項目和科研項目，首創的“DevSecOps智適應威脅管理體系”已演進至第三代，在產業界影響頗深。