云原生時(shí)代,應(yīng)用開(kāi)源化、開(kāi)發(fā)敏捷化、架構(gòu)微服務(wù)化、基礎(chǔ)設(shè)施容器化,使得數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)日趨嚴(yán)峻。隨著企業(yè)數(shù)字化轉(zhuǎn)型步入深水區(qū),數(shù)字化應(yīng)用已逐漸滲透到業(yè)務(wù)發(fā)展、技術(shù)研發(fā)、企業(yè)管理等各個(gè)場(chǎng)景,貫穿于企業(yè)發(fā)展全生命周期。數(shù)字革命席卷而來(lái),懸鏡安全順勢(shì)而為。2023年4月14日,由中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)和懸鏡安全聯(lián)合舉辦的“數(shù)字供應(yīng)鏈安全治理與實(shí)踐”技術(shù)沙龍?jiān)诰﹫A滿(mǎn)舉辦。
本次技術(shù)沙龍采取“線(xiàn)下沙龍+線(xiàn)上直播”模式同步進(jìn)行,線(xiàn)下有來(lái)自金融、互聯(lián)網(wǎng)、通信、網(wǎng)絡(luò)安全等領(lǐng)域的七十余位安全技術(shù)大咖、行業(yè)意見(jiàn)領(lǐng)袖、資深媒體學(xué)者齊聚一堂,線(xiàn)上有7000+行業(yè)用戶(hù)參與直播互動(dòng),線(xiàn)上線(xiàn)下技術(shù)聯(lián)動(dòng),精彩紛呈,共同探討如何應(yīng)對(duì)新時(shí)代數(shù)字供應(yīng)鏈面臨的威脅與挑戰(zhàn),分享關(guān)鍵技術(shù)創(chuàng)新發(fā)展成果以及治理方案的實(shí)踐落地。中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟副秘書(shū)長(zhǎng)許玉娜、中泰證券科技研發(fā)部總監(jiān)陳樹(shù)冰、中國(guó)移動(dòng)智慧家庭運(yùn)營(yíng)中心高級(jí)業(yè)務(wù)安全專(zhuān)家鄭國(guó)忠、字節(jié)跳動(dòng)云安全產(chǎn)品解決方案架構(gòu)師陳飛、平安壹錢(qián)包DevSecOps運(yùn)營(yíng)負(fù)責(zé)人汪永輝、懸鏡安全CTO寧戈、懸鏡安全CMO Sunny出席了本次技術(shù)沙龍。安全419創(chuàng)始人兼CEO張毅作為本次技術(shù)沙龍?zhí)匮鞒秩恕?/P>
領(lǐng)導(dǎo)致辭-中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟副秘書(shū)長(zhǎng)許玉娜
許玉娜在致辭中指出,黨的二十大報(bào)告中強(qiáng)調(diào)要堅(jiān)決維護(hù)國(guó)家安全和社會(huì)穩(wěn)定。網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)的底座,將在未來(lái)的發(fā)展中承擔(dān)托底的重?fù)?dān),是我國(guó)現(xiàn)代化產(chǎn)業(yè)體系中不可或缺的部分。近年來(lái),數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)已成為企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中面臨的重大網(wǎng)絡(luò)安全問(wèn)題之一,加快落地?cái)?shù)字供應(yīng)鏈安全治理工作迫在眉睫。企業(yè)亟需從各個(gè)層面建立數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)的發(fā)現(xiàn)能力、分析能力、處置能力、防護(hù)能力,整體提升數(shù)字供應(yīng)鏈安全管理的水平。
中泰證券科技研發(fā)部總監(jiān)陳樹(shù)冰:云原生DevSecOps的建設(shè)探索與實(shí)踐
陳樹(shù)冰表示,未來(lái)數(shù)字化應(yīng)用在云原生環(huán)境下研發(fā)及運(yùn)行,在DevOps平臺(tái)和體系基礎(chǔ)上,云原生環(huán)境下的數(shù)字供應(yīng)鏈安全體系運(yùn)營(yíng)流程需要實(shí)現(xiàn)端到端且高效地運(yùn)轉(zhuǎn),因此,DevSecOps體系建設(shè)尤為重要。中泰證券基于《研發(fā)運(yùn)營(yíng)一體化(DevOps)能力成熟度模型》,以DevOps流程為中心,將包括懸鏡安全在內(nèi)的廠(chǎng)商提供的安全能力融入各關(guān)鍵階段,覆蓋云原生下研發(fā)、交付、運(yùn)營(yíng)全過(guò)程,為企業(yè)的數(shù)字供應(yīng)鏈提供安全防護(hù)閉環(huán)。得益于DevSecOps的實(shí)踐落地,中泰證券完善了安全管理規(guī)范,通過(guò)安全左移,大幅提升應(yīng)用交付效率的同時(shí)降低了線(xiàn)上運(yùn)營(yíng)壓力。
懸鏡安全CTO寧戈:數(shù)字供應(yīng)鏈安全下的代碼疫苗技術(shù)治理與實(shí)踐
寧戈分享了懸鏡原創(chuàng)專(zhuān)利級(jí)代碼疫苗技術(shù)的架構(gòu)原理、能力象限以及其在數(shù)字應(yīng)鏈安全管理體系中的關(guān)鍵作用。他表示,代碼疫苗技術(shù)統(tǒng)一融合了IAST、SCA、RASP、DRA、API、APM等能力,只需一個(gè)探針就能解決數(shù)字化應(yīng)用長(zhǎng)期面臨的安全漏洞、數(shù)據(jù)泄漏、運(yùn)行異常、0Day攻擊等風(fēng)險(xiǎn),減輕多探針運(yùn)維壓力的同時(shí),為應(yīng)用植入“代碼疫苗”,實(shí)現(xiàn)應(yīng)用與安全共生。
在整個(gè)數(shù)字供應(yīng)鏈安全管理體系中,代碼疫苗技術(shù)及相關(guān)的敏捷安全工具既能確保數(shù)字化應(yīng)用生產(chǎn)過(guò)程安全透明,幫助形成完善的研發(fā)運(yùn)營(yíng)體系,防止應(yīng)用帶“病”上線(xiàn)的同時(shí)生成可信的軟件物料清單(SBOM);又能對(duì)于存量的上線(xiàn)應(yīng)用資產(chǎn)進(jìn)行梳理,并提供持續(xù)動(dòng)態(tài)風(fēng)險(xiǎn)免疫能力,確保建立快速的應(yīng)急響應(yīng)能力;此外還能對(duì)外部采購(gòu)、外包交付的應(yīng)用進(jìn)行數(shù)字供應(yīng)鏈安全審查。
中國(guó)移動(dòng)高級(jí)業(yè)務(wù)安全專(zhuān)家鄭國(guó)忠:軟件供應(yīng)鏈安全,從威脅到解決方案
鄭國(guó)忠表示,開(kāi)源技術(shù)蓬勃發(fā)展,已成為企業(yè)數(shù)字化轉(zhuǎn)型的核動(dòng)力,但也給企業(yè)帶來(lái)了軟件供應(yīng)鏈安全威脅。軟件供應(yīng)鏈安全風(fēng)險(xiǎn)存在于供應(yīng)鏈的各個(gè)環(huán)節(jié),單點(diǎn)的防御檢測(cè)已經(jīng)無(wú)法滿(mǎn)足企業(yè)安全防御的需求。中國(guó)移動(dòng)智慧家庭運(yùn)營(yíng)中心依據(jù)軟件供應(yīng)鏈的特點(diǎn),借鑒行業(yè)解決思路,采用四化合一的架構(gòu),從組織保障、流程建設(shè)、場(chǎng)景識(shí)別、能力固化四個(gè)方面,依托自身的SDL安全研發(fā)能力,通過(guò)源頭治理、過(guò)程治理和線(xiàn)上運(yùn)營(yíng)治理三階段的安全管控,構(gòu)建起供應(yīng)鏈軟件全生命周期的安全治理體系,實(shí)現(xiàn)軟件供應(yīng)鏈安全主動(dòng)防范、縱深防御、精準(zhǔn)防護(hù)、整體防護(hù)的能力。
字節(jié)跳動(dòng)云安全產(chǎn)品解決方案架構(gòu)師陳飛:云原生安全思考與實(shí)踐
字節(jié)跳動(dòng)云安全產(chǎn)品解決方案架構(gòu)師陳飛在分享中指出,隨著云原生技術(shù)大規(guī)模應(yīng)用,云原生安全保護(hù)成為企業(yè)在數(shù)字化轉(zhuǎn)型過(guò)程中關(guān)注的熱點(diǎn)之一。字節(jié)跳動(dòng)在云原生安全領(lǐng)域深入探索實(shí)踐,打造云原生安全能力矩陣,基于典型CI/CD流程,嵌入豐富的安全能力,實(shí)現(xiàn)完善的安全保護(hù)機(jī)制,同時(shí)參考融合業(yè)界典型的CNAPP模型,形成更進(jìn)一步的云原生安全體系化建設(shè)思路。在具體落地實(shí)踐層面,字節(jié)跳動(dòng)會(huì)關(guān)注“全流程端到端漏洞風(fēng)險(xiǎn)治理、網(wǎng)絡(luò)訪(fǎng)問(wèn)風(fēng)險(xiǎn)可觀(guān)測(cè)可控制、基于云原生行為的檢測(cè)響應(yīng)處溯源、面向云原生多云多態(tài)管理”多個(gè)要點(diǎn),切實(shí)保障在云原生場(chǎng)景下各業(yè)務(wù)應(yīng)用的持續(xù)運(yùn)營(yíng)。
平安壹錢(qián)包DevSecOps運(yùn)營(yíng)負(fù)責(zé)人汪永輝:數(shù)據(jù)驅(qū)動(dòng)敏捷安全落地
汪永輝以數(shù)據(jù)的形式分享了他在DevSecOps落地方面的思考和感悟。首先他通過(guò)展示包括Log4j、fastjson在內(nèi)一連串開(kāi)源組件的漏洞修復(fù)率和修復(fù)速率,體現(xiàn)了DevSecOps在數(shù)字供應(yīng)鏈安全管理方面的關(guān)鍵成效。緊接著,他指出各項(xiàng)敏捷安全能力建設(shè)需要考量企業(yè)安全現(xiàn)狀,以平安壹錢(qián)包為例,會(huì)通過(guò)內(nèi)部調(diào)研分析,將各項(xiàng)安全能力的優(yōu)先級(jí)量化,從而規(guī)劃安全建設(shè)的重點(diǎn)。最后他也坦言,做好企業(yè)的安全工作既要自身不懈堅(jiān)持也要與懸鏡安全這類(lèi)技術(shù)驅(qū)動(dòng)、產(chǎn)品服務(wù)落地的廠(chǎng)商積極合作,實(shí)現(xiàn)“1+1=2”。
數(shù)字轉(zhuǎn)型安全話(huà)題“你問(wèn)我答”
演講嘉賓的精彩分享激發(fā)了現(xiàn)場(chǎng)的熱烈討論,在技術(shù)沙龍的互動(dòng)交流環(huán)節(jié),來(lái)自《網(wǎng)絡(luò)安全和信息化》、GoUpSec、《信息安全與通信保密》的與會(huì)嘉賓提出了大家重點(diǎn)關(guān)注的話(huà)題。
《網(wǎng)絡(luò)安全和信息化》:企業(yè)DevSecOps建設(shè)有什么方法論?
汪永輝:DevSecOps建設(shè)是個(gè)跨領(lǐng)域的工作,不僅需要與領(lǐng)導(dǎo)持續(xù)交流溝通,而且需要在企業(yè)內(nèi)部推動(dòng)開(kāi)發(fā)、運(yùn)維、安全等相關(guān)部門(mén)的協(xié)作。要真正實(shí)現(xiàn)DevSecOps任重而道遠(yuǎn),無(wú)捷徑可言,需要人來(lái)堅(jiān)持不懈地推動(dòng)。
GoUpSec:安全廠(chǎng)商在提供DevSecOps產(chǎn)品和服務(wù)時(shí),如何滿(mǎn)足用戶(hù)的差異化需求?
寧戈:以懸鏡為例,主要通過(guò)打造標(biāo)準(zhǔn)化、模塊化、靈活化的安全產(chǎn)品及服務(wù),來(lái)滿(mǎn)足用戶(hù)的不同需求。
《信息安全與通信保密》:云原生安全實(shí)踐包含哪些重點(diǎn)工作?
陳飛:字節(jié)跳動(dòng)基于內(nèi)部實(shí)踐經(jīng)驗(yàn)認(rèn)為,好的工具、平臺(tái)和流程保障以及安全、開(kāi)發(fā)、運(yùn)維人員的緊密合作,能有效推動(dòng)云原生安全體系的落地。
雄關(guān)漫道真如鐵,而今邁步從頭越。本次活動(dòng),與會(huì)嘉賓不僅收獲了數(shù)字供應(yīng)鏈安全建設(shè)落地實(shí)踐的真知灼見(jiàn),也深刻認(rèn)知到數(shù)字化供應(yīng)鏈安全實(shí)踐的應(yīng)用原理與關(guān)鍵技術(shù)。懸鏡安全AI智能引領(lǐng)數(shù)字供應(yīng)鏈安全,向未來(lái),更進(jìn)一步,正如詩(shī)人王之渙所說(shuō):“登高壯觀(guān)天地間,大江茫茫去不還!蔽覀?cè)跀?shù)字時(shí)代的道路上行進(jìn),需要不斷地攀登高峰,才能瞭望更廣闊的天地,創(chuàng)造更美好的未來(lái)。懸鏡安全會(huì)持續(xù)發(fā)揮其引領(lǐng)數(shù)字供應(yīng)鏈安全的領(lǐng)導(dǎo)作用,為網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)的建設(shè)發(fā)展提供強(qiáng)有力的安全保障,持續(xù)守護(hù)中國(guó)數(shù)字供應(yīng)鏈安全。