2022年12月28日,由悬镜安全主办,3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会(DSO 2022)已通过全球直播的形式圆满举行。本届大会以“共生·敏捷·进化”为主题,以“敏捷共生,守护中国软件供应链安全”为使命,聚焦DevSecOps敏捷安全、软件供应链安全和云原生安全三大典型应用场景下的新技术、新态势、新实践。
本届大会由ISC-n世界、安全客、数说安全、安在、看雪、嘶吼、指尖安全、微赞等10余家媒体平台与悬镜安全官方视频号联合直播、全球首发,在线观看人数据不完全统计超7万人。安全圈“产学研用”各界实力代表济济一堂共享技术饕餮盛宴。
关注“悬镜安全”官方服务号,获取大会详情
领导致辞
北京大学陈钟教授:构建一体化安全保障体系,筑牢数字经济发展坚实底座
图1 北京大学计算机学院网络与安全实验室主任 陈钟
网络安全与信息化是数字经济发展的一体之两翼、驱动之双轮。北京大学计算机学院网络与安全实验室主任陈钟教授在致辞中指出,信息化的核心关键是软件,万物互联时代,开源代码被普遍使用,软件供应链攻击事件频发;云计算、容器等技术的普及改变了原有的应用架构、开发模式、基础设施,增加了安全防护复杂性。针对网络安全新挑战,陈钟教授提出政企组织需要从“抓好管理、用好技术和技管结合”三个维度构建一体化的安全保障体系。
在致辞的最后,陈钟教授总结到,打造数字经济发展的安全底座,需要共建、共治、共享,打通产业链上下游,共享威胁情报,建立协同联动的联防联控机制,加速“产学研用”的深度融合,加大核心技术关键领域全方位、多层面协同创新突破,构建网络安全命运共同体。
出品人洞察
DSO大会出品人子芽:DevSecOps敏捷安全技术演进洞察(2022)
图2 DSO敏捷安全大会出品人 子芽
2022年,国际知名咨询机构IDC将DevSecOps定义为驱动云安全的变革型技术。DSO敏捷安全大会出品人子芽在主题分享中,指出了促使软件供应链跃迁式演进并推动DevSecOps快速发展的四大积极的新变化,并对DevSecOps敏捷安全体系进行了系统梳理和深度阐述。
DevSecOps敏捷安全技术金字塔V3.0是本次出品人洞察的核心亮点。DevSecOps敏捷安全技术金字塔是子芽基于长期DevSecOps敏捷安全技术前沿研究探索成果以及悬镜安全团队在软件供应链安全和云原生安全领域多年的应用实践沉淀汇聚而来,融合了国内外行业头部企业 “安全左移,从源头做风险治理”和“敏捷右移,安全运营敏捷化”的实践思想,并持续内涵了“出厂自免疫、敏捷自适应、共生自进化”的关键特性。其中,不同敏捷安全技术栈落入金字塔不同实践阶层的重点考量主要围绕“技术创新度、产品成熟度和市场需求度”三个维度展开。
图3 DevSecOps敏捷安全技术金字塔V3.0
嘉宾主题演讲
本届大会上,围绕时下DevSecOps、软件供应链安全、云原生安全、开源安全等领域热点话题,来自国内外“产学研用”各界的顶尖技术专家、行业意见领袖、资深学者智囊、企业精英代表等纷纷带来了精彩的主题演讲。
OpenChain Shane:OpenChain and Building Trust in the Supply Chain
图4 OpenChain总经理 Shane Coughlan
软件供应链开源化使得各个环节不可避免地受到开源应用的影响,开源应用的安全性将直接影响软件供应链的安全性,其中开源许可证合规风险是核心安全问题之一。OpenChain总经理Shane Coughlan在主题演讲中,详细介绍了他们所制定的开源许可证合规领域国际标准OpenChain ISO/IEC 5230:2020。Shane指出,该标准旨在帮助企业组织明确处理软件入站、内部和出站跟踪所需的关键拐点,从而显著降低开源软件许可证合规风险。他也透露OpenChain在今年已经推出可落地应用的开源软件安全标准,并将在2023年促其成为ISO标准。最后,Shane呼吁越来越多的公司加入OpenChain社区,共同打造安全和值得信赖的开源软件供应链。
中国信通院郭雪:中国信通院软件供应链安全标准体系建设
图5 中国信通院云大所开源和软件安全部副主任 郭雪
近年来,以Log4j2、SolarWinds事件为代表的软件供应链攻击频发,对个人的隐私和财产安全乃至国家安全造成了重大威胁,国内外均加快了软件供应链安全标准体系的建设。中国信息通信研究院云计算与大数据研究所开源和软件安全部副主任郭雪,在大会上分享了相关标准的研制情况以及编制思路。信通院软件供应链安全管理标准体系围绕引入、生产和应用三大环节,共分为五个关键模块。在谈及安全平台和工具链体系模块时,郭雪重点讲解了于2022年年末编制完成的RASP标准。该标准涵盖了七大能力要求,并已落地了相应的评估测试,通过的产品包括悬镜云鲨RASP等。
中国电信研究院何国锋:高可信内生安全网络助力数字化转型
图6 中国电信研究院安全技术研究所所长 何国锋
中国电信研究院安全技术研究所所长何国锋在主题演讲中指出,数字化时代有三个明显的特征:软件定义、云网融合和万物数字化时代,促使安全挑战加剧,传统的防护方式已无法满足新的安全要求,亟待新安全理念、新技术体系或者新能力的落地应用。在这一背景下,何国锋分享了由中国电信研究院提出的解决方案——高可信内生安全网络架构。通过高可信内生安全技术体系,最终可实现自身健壮、自主感知、自动防护、自我成长和自适弹性即可信、免疫和弹性,通过覆盖系统全生命周期、全栈、端对端的安全能力,赋能数字化转型。
华为云郑志强:华为开源治理实践分享
图7 华为云计算技术有限公司网络安全专家 郑志强
如何正确使用开源软件,规避因开源漏洞、许可证和政治因素导致的开源风险,是企业共同面临的现实问题。华为云计算技术有限公司网络安全专家郑志强在大会上,从开源及第三方软件管控、开源漏洞响应处理、开源及第三方工程实践多维度介绍了华为开源治理实践以及一整套从组织、流程到规范的开源治理体系。郑志强指出,在华为产品研发过程中,从安全设计、隐私合规、代码检查、成分分析到安全测试,每个环节都会匹配相应的管控平台和自动化流程,从而确保开源及第三方软件风险得到收敛。
腾讯谢奕智:腾讯云RASP实践
图8 腾讯主机安全/容器安全负责人 谢奕智
云原生时代,高危漏洞频发,云上租户面临严峻的漏洞攻击形势,但漏洞修复面临多样化挑战。基于此,腾讯主机安全/容器安全负责人谢奕智在主题分享中介绍了腾讯云漏洞防御方案。谢奕智表示,为突破漏洞修复困局,可以将思路从“修”转为“防”,通过网络侧虚拟补丁和主机侧RASP虚拟补丁实现漏洞防御。相较于网络侧的WAF和FW,RASP具备经济成本低、支持0day防御、支持东西向防御和难绕过四大优势,因而具备一定的必要性。在演讲的最后,谢奕智还分享了RASP产品基本标准,助力相关工具选型工作。
中国信息安全测评中心王晓萌:软件供应链实体要素剖析与安全风险防范
图9 中国信息安全测评中心高级专家 王晓萌
来自中国信息安全测评中心的高级专家王晓萌,在本届大会上以软件供应链实体要素为切入点,围绕软件供应链安全威胁与挑战、国内外软件供应链安全政策措施以及我国软件供应链安全的现状和特点,进行了深入的分析。为解决我国软件供应链面临的安全问题,王晓萌认为需要提前布局,结合国内软件供应链特点,建立全流程软件供应链安全保障体系,全面提升软件供应链的风险管理能力。在他看来,在体系搭建过程中,企业需要重点防范供应关系中断以及供应活动中引入的漏洞、后门、知识产权风险、数据安全等问题。
恒生电子唐冬:金融供应商开源治理实践
图10 恒生电子股份有限公司安全测试部部长 唐冬
针对开源组件进行统一有效的管理同样是金融企业内部十分重视的安全工作。恒生电子股份有限公司安全测试部部长唐冬在本届大会上分享了恒生电子在开源治理方面的深入实践。唐冬围绕“软件资产准用管理、软件资产风险监测、研发过程风险管控、产品持续风险监测以及软件资产退出管理”这开源治理过程的五大核心,详细介绍了恒生电子内部的开源治理体系。在演讲的最后,唐冬坦言,开源治理体系的建立重点是要解决组织和人员问题,企业需要基于自身现有研发体系和实际业务情况,寻找适合自己的最佳实践。
博云科技靳亮:黄金时代·乘云问道之云原生
图11 博云科技副总经理、董事 靳亮
博云科技副总经理、董事靳亮在主题演讲中表示,对于IT行业而言,当下仍然是黄金时代,因为借助云原生实现自身数字化转型升级是大部分企业的必由之路。作为云原生代表厂商的博云科技在专注为用户提供包括DevOps平台在内的产品和服务时,深切领悟到在当下的市场环境中“单兵作战”的局限性。靳亮以博云科技和悬镜安全多年来的生态合作为例,指出云原生产业上下游的厂商通过彼此技术赋能和互补,为用户提供完整解决方案,是他们所一直推崇的发展之路。靳亮在演讲中多次强调:“先做好自己,找到一群同样做好自己的伙伴,stronger together,共同服务用户,为社会建设贡献力量。”
中国移动储兰芳:中国移动云能力中心DevSecOps之研发安全探索与实践
图12 中移(苏州)软件技术有限公司研发管理专家 储兰芳
中移(苏州)软件技术有限公司研发管理专家储兰芳带来了中国移动云能力中心对DevSecOps的探索与实践。储兰芳介绍到,随着云市场规模持续放大,云网融合可以成为运营商在5G时代的核心竞争业务之一,移动云作为中国移动战略性基础性和基础性业务应用而生,却也面临复杂多变的安全威胁。为此,中国移动云能力中心参考DevSecOps标准,协同运维、建设、研发、市场四领域,从安全责任主体、制度流程及支撑工具三方面将安全要求内建到研发过程中,实现安全左移,提升了持续交付和安全管理能力。
vivo成明江:vivo移动终端安全工程实践
图13 维沃移动通信有限公司安全工程组高级经理 成明江
数字化时代,隐私安全成为人们关注的焦点。维沃移动通信有限公司安全工程组高级经理成明江在主题演讲中直言,信息安全与隐私保护是vivo最为重要的两大课题。成明江介绍到,vivo基于原创的安全与隐私保护体系架构,通过内部PROTECT安全技术战略,从安全技术、安全工程和安全对抗三大方向,切实保障用户的隐私安全。在重点介绍安全工程方向的实践时,成明江指出,vivo是基于自身成熟的IPD集成产品开发流程,将网络安全和隐私保护的要求融入各个环节,在这一过程中需要借助相应的安全能力作为支撑。
OpenSSF、极狐GitLab马景贺:DevSecOps如何助力开源软件供应链安全
图14 OpenSSF中国工作组副组长、极狐GitLab DevOps技术布道师 马景贺
OpenSSF中国工作组副组长、极狐GitLab DevOps技术布道师马景贺在大会主题演讲环节分享了DevSecOps助力开源软件供应链安全保障的原理和优势。近两年以来,开源发展迅猛,已成为数字基础设施的关键要素。在马景贺看来,安全是开源软件供应链的底线,但现状不容乐观,针对供应链上游的攻击也将对下游产生严重影响。在开源软件供应链中,企业可以通过DevSecOps,将安全融入软件开发生命周期的每个阶段,确保向下游交付安全的产品。“每个企业都是供应链上的一个点,每个点借助DevSecOps手段保证自身安全,整个开源软件供应链自然也是安全的。”马景贺总结道。
小佑科技白黎明:云原生制品安全防护最佳实践
图15 小佑科技技术总监 白黎明
小佑科技的技术总监白黎明在主题演讲中分享到,云原生制品是指在一个虚拟操作系统环境中仅安装了用户需要的应用程序及其依赖文件的镜像,这个镜像可以通过容器运行时引擎运行成一个容器来执行对应的任务,然而却面临来自开源组件、开源镜像、政策合规、DevOps等多方面的安全风险。白黎明指出,云原生制品安全防护需要具备三大核心能力:企业级黄金镜像、DevSecOps流程的安全插件、制品风险检测及修复能力。围绕这三大能力,白黎明完整介绍了小佑科技云原生制品DevSecOp最佳实践,为广大企业用户提供了相关安全防护思路。
虽然第二届全球DevSecOps敏捷安全大会已落下帷幕,但这并不意味着散场和结束,DevSecOps敏捷安全、软件供应链安全、云原生安全等领域的关键技术创新迭代和实践应用从未有一刻停止。DSO敏捷安全大会将持续发挥产业发展风向标的引领作用,牢牢把握前沿敏捷安全技术的发展脉搏,仔细聆听数字经济发展过程中的安全需求,携手“产学研用”各界,敏捷共生,守护中国软件供应链安全。
关注“悬镜安全”、“DevSecOps敏捷安全大会”公众号,获取DSO大会更多精彩内容回顾。
发表评论
您还未登录,请先登录。
登录