云原生時代,應(yīng)用開源化、開發(fā)敏捷化、架構(gòu)微服務(wù)化、基礎(chǔ)設(shè)施容器化,使得數(shù)字供應(yīng)鏈安全風(fēng)險日趨嚴(yán)峻。隨著企業(yè)數(shù)字化轉(zhuǎn)型步入深水區(qū),數(shù)字化應(yīng)用已逐漸滲透到業(yè)務(wù)發(fā)展、技術(shù)研發(fā)、企業(yè)管理等各個場景,貫穿于企業(yè)發(fā)展全生命周期。數(shù)字革命席卷而來,懸鏡安全順勢而為。2023年4月14日,由中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)和懸鏡安全聯(lián)合舉辦的“數(shù)字供應(yīng)鏈安全治理與實(shí)踐”技術(shù)沙龍在京圓滿舉辦。
本次技術(shù)沙龍采取“線下沙龍+線上直播”模式同步進(jìn)行,線下有來自金融、互聯(lián)網(wǎng)、通信、網(wǎng)絡(luò)安全等領(lǐng)域的七十余位安全技術(shù)大咖、行業(yè)意見領(lǐng)袖、資深媒體學(xué)者齊聚一堂,線上有7000+行業(yè)用戶參與直播互動,線上線下技術(shù)聯(lián)動,精彩紛呈,共同探討如何應(yīng)對新時代數(shù)字供應(yīng)鏈面臨的威脅與挑戰(zhàn),分享關(guān)鍵技術(shù)創(chuàng)新發(fā)展成果以及治理方案的實(shí)踐落地。中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟副秘書長許玉娜、中泰證券科技研發(fā)部總監(jiān)陳樹冰、中國移動智慧家庭運(yùn)營中心高級業(yè)務(wù)安全專家鄭國忠、字節(jié)跳動云安全產(chǎn)品解決方案架構(gòu)師陳飛、平安壹錢包DevSecOps運(yùn)營負(fù)責(zé)人汪永輝、懸鏡安全CTO寧戈、懸鏡安全CMO Sunny出席了本次技術(shù)沙龍。安全419創(chuàng)始人兼CEO張毅作為本次技術(shù)沙龍?zhí)匮鞒秩恕?/P>
領(lǐng)導(dǎo)致辭-中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟副秘書長許玉娜
許玉娜在致辭中指出,黨的二十大報告中強(qiáng)調(diào)要堅決維護(hù)國家安全和社會穩(wěn)定。網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國的底座,將在未來的發(fā)展中承擔(dān)托底的重?fù)?dān),是我國現(xiàn)代化產(chǎn)業(yè)體系中不可或缺的部分。近年來,數(shù)字供應(yīng)鏈安全風(fēng)險已成為企業(yè)數(shù)字化轉(zhuǎn)型過程中面臨的重大網(wǎng)絡(luò)安全問題之一,加快落地數(shù)字供應(yīng)鏈安全治理工作迫在眉睫。企業(yè)亟需從各個層面建立數(shù)字供應(yīng)鏈安全風(fēng)險的發(fā)現(xiàn)能力、分析能力、處置能力、防護(hù)能力,整體提升數(shù)字供應(yīng)鏈安全管理的水平。
中泰證券科技研發(fā)部總監(jiān)陳樹冰:云原生DevSecOps的建設(shè)探索與實(shí)踐
陳樹冰表示,未來數(shù)字化應(yīng)用在云原生環(huán)境下研發(fā)及運(yùn)行,在DevOps平臺和體系基礎(chǔ)上,云原生環(huán)境下的數(shù)字供應(yīng)鏈安全體系運(yùn)營流程需要實(shí)現(xiàn)端到端且高效地運(yùn)轉(zhuǎn),因此,DevSecOps體系建設(shè)尤為重要。中泰證券基于《研發(fā)運(yùn)營一體化(DevOps)能力成熟度模型》,以DevOps流程為中心,將包括懸鏡安全在內(nèi)的廠商提供的安全能力融入各關(guān)鍵階段,覆蓋云原生下研發(fā)、交付、運(yùn)營全過程,為企業(yè)的數(shù)字供應(yīng)鏈提供安全防護(hù)閉環(huán)。得益于DevSecOps的實(shí)踐落地,中泰證券完善了安全管理規(guī)范,通過安全左移,大幅提升應(yīng)用交付效率的同時降低了線上運(yùn)營壓力。
懸鏡安全CTO寧戈:數(shù)字供應(yīng)鏈安全下的代碼疫苗技術(shù)治理與實(shí)踐
寧戈分享了懸鏡原創(chuàng)專利級代碼疫苗技術(shù)的架構(gòu)原理、能力象限以及其在數(shù)字應(yīng)鏈安全管理體系中的關(guān)鍵作用。他表示,代碼疫苗技術(shù)統(tǒng)一融合了IAST、SCA、RASP、DRA、API、APM等能力,只需一個探針就能解決數(shù)字化應(yīng)用長期面臨的安全漏洞、數(shù)據(jù)泄漏、運(yùn)行異常、0Day攻擊等風(fēng)險,減輕多探針運(yùn)維壓力的同時,為應(yīng)用植入“代碼疫苗”,實(shí)現(xiàn)應(yīng)用與安全共生。
在整個數(shù)字供應(yīng)鏈安全管理體系中,代碼疫苗技術(shù)及相關(guān)的敏捷安全工具既能確保數(shù)字化應(yīng)用生產(chǎn)過程安全透明,幫助形成完善的研發(fā)運(yùn)營體系,防止應(yīng)用帶“病”上線的同時生成可信的軟件物料清單(SBOM);又能對于存量的上線應(yīng)用資產(chǎn)進(jìn)行梳理,并提供持續(xù)動態(tài)風(fēng)險免疫能力,確保建立快速的應(yīng)急響應(yīng)能力;此外還能對外部采購、外包交付的應(yīng)用進(jìn)行數(shù)字供應(yīng)鏈安全審查。
中國移動高級業(yè)務(wù)安全專家鄭國忠:軟件供應(yīng)鏈安全,從威脅到解決方案
鄭國忠表示,開源技術(shù)蓬勃發(fā)展,已成為企業(yè)數(shù)字化轉(zhuǎn)型的核動力,但也給企業(yè)帶來了軟件供應(yīng)鏈安全威脅。軟件供應(yīng)鏈安全風(fēng)險存在于供應(yīng)鏈的各個環(huán)節(jié),單點(diǎn)的防御檢測已經(jīng)無法滿足企業(yè)安全防御的需求。中國移動智慧家庭運(yùn)營中心依據(jù)軟件供應(yīng)鏈的特點(diǎn),借鑒行業(yè)解決思路,采用四化合一的架構(gòu),從組織保障、流程建設(shè)、場景識別、能力固化四個方面,依托自身的SDL安全研發(fā)能力,通過源頭治理、過程治理和線上運(yùn)營治理三階段的安全管控,構(gòu)建起供應(yīng)鏈軟件全生命周期的安全治理體系,實(shí)現(xiàn)軟件供應(yīng)鏈安全主動防范、縱深防御、精準(zhǔn)防護(hù)、整體防護(hù)的能力。
字節(jié)跳動云安全產(chǎn)品解決方案架構(gòu)師陳飛:云原生安全思考與實(shí)踐
字節(jié)跳動云安全產(chǎn)品解決方案架構(gòu)師陳飛在分享中指出,隨著云原生技術(shù)大規(guī)模應(yīng)用,云原生安全保護(hù)成為企業(yè)在數(shù)字化轉(zhuǎn)型過程中關(guān)注的熱點(diǎn)之一。字節(jié)跳動在云原生安全領(lǐng)域深入探索實(shí)踐,打造云原生安全能力矩陣,基于典型CI/CD流程,嵌入豐富的安全能力,實(shí)現(xiàn)完善的安全保護(hù)機(jī)制,同時參考融合業(yè)界典型的CNAPP模型,形成更進(jìn)一步的云原生安全體系化建設(shè)思路。在具體落地實(shí)踐層面,字節(jié)跳動會關(guān)注“全流程端到端漏洞風(fēng)險治理、網(wǎng)絡(luò)訪問風(fēng)險可觀測可控制、基于云原生行為的檢測響應(yīng)處溯源、面向云原生多云多態(tài)管理”多個要點(diǎn),切實(shí)保障在云原生場景下各業(yè)務(wù)應(yīng)用的持續(xù)運(yùn)營。
平安壹錢包DevSecOps運(yùn)營負(fù)責(zé)人汪永輝:數(shù)據(jù)驅(qū)動敏捷安全落地
汪永輝以數(shù)據(jù)的形式分享了他在DevSecOps落地方面的思考和感悟。首先他通過展示包括Log4j、fastjson在內(nèi)一連串開源組件的漏洞修復(fù)率和修復(fù)速率,體現(xiàn)了DevSecOps在數(shù)字供應(yīng)鏈安全管理方面的關(guān)鍵成效。緊接著,他指出各項敏捷安全能力建設(shè)需要考量企業(yè)安全現(xiàn)狀,以平安壹錢包為例,會通過內(nèi)部調(diào)研分析,將各項安全能力的優(yōu)先級量化,從而規(guī)劃安全建設(shè)的重點(diǎn)。最后他也坦言,做好企業(yè)的安全工作既要自身不懈堅持也要與懸鏡安全這類技術(shù)驅(qū)動、產(chǎn)品服務(wù)落地的廠商積極合作,實(shí)現(xiàn)“1+1=2”。
數(shù)字轉(zhuǎn)型安全話題“你問我答”
演講嘉賓的精彩分享激發(fā)了現(xiàn)場的熱烈討論,在技術(shù)沙龍的互動交流環(huán)節(jié),來自《網(wǎng)絡(luò)安全和信息化》、GoUpSec、《信息安全與通信保密》的與會嘉賓提出了大家重點(diǎn)關(guān)注的話題。
《網(wǎng)絡(luò)安全和信息化》:企業(yè)DevSecOps建設(shè)有什么方法論?
汪永輝:DevSecOps建設(shè)是個跨領(lǐng)域的工作,不僅需要與領(lǐng)導(dǎo)持續(xù)交流溝通,而且需要在企業(yè)內(nèi)部推動開發(fā)、運(yùn)維、安全等相關(guān)部門的協(xié)作。要真正實(shí)現(xiàn)DevSecOps任重而道遠(yuǎn),無捷徑可言,需要人來堅持不懈地推動。
GoUpSec:安全廠商在提供DevSecOps產(chǎn)品和服務(wù)時,如何滿足用戶的差異化需求?
寧戈:以懸鏡為例,主要通過打造標(biāo)準(zhǔn)化、模塊化、靈活化的安全產(chǎn)品及服務(wù),來滿足用戶的不同需求。
《信息安全與通信保密》:云原生安全實(shí)踐包含哪些重點(diǎn)工作?
陳飛:字節(jié)跳動基于內(nèi)部實(shí)踐經(jīng)驗認(rèn)為,好的工具、平臺和流程保障以及安全、開發(fā)、運(yùn)維人員的緊密合作,能有效推動云原生安全體系的落地。
雄關(guān)漫道真如鐵,而今邁步從頭越。本次活動,與會嘉賓不僅收獲了數(shù)字供應(yīng)鏈安全建設(shè)落地實(shí)踐的真知灼見,也深刻認(rèn)知到數(shù)字化供應(yīng)鏈安全實(shí)踐的應(yīng)用原理與關(guān)鍵技術(shù)。懸鏡安全AI智能引領(lǐng)數(shù)字供應(yīng)鏈安全,向未來,更進(jìn)一步,正如詩人王之渙所說:“登高壯觀天地間,大江茫茫去不還!蔽覀冊跀(shù)字時代的道路上行進(jìn),需要不斷地攀登高峰,才能瞭望更廣闊的天地,創(chuàng)造更美好的未來。懸鏡安全會持續(xù)發(fā)揮其引領(lǐng)數(shù)字供應(yīng)鏈安全的領(lǐng)導(dǎo)作用,為網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國的建設(shè)發(fā)展提供強(qiáng)有力的安全保障,持續(xù)守護(hù)中國數(shù)字供應(yīng)鏈安全。