2021年7月21日,中国首届DevSecOps敏捷安全大会(DSO 2021)在北京成功举办,大会以“安全从供应链开始”为主题,寓意安全基础决定上层建筑,在云原生环境下为软件供应链注入覆盖全流程的安全属性,从源头做风险治理。DSO 2021由中国信息通信研究院指导,DevSecOps敏捷安全领导者悬镜安全主办,腾讯安全协办,现场逾300位权威学者、安全专家、生态伙伴、技术精英齐聚一堂,近20个议题,直击软件供应链安全复杂场景中涉及的管理、流程、技术、工具等问题,为安全产业发展提供创新源动力。
图:中国信通院云大所副所长栗蔚女士发表欢迎致辞
中国信通院云大所副所长栗蔚女士莅临首届DevSecOps敏捷安全大会并发表欢迎致辞,她表示:“经过多年的发展,DevSecOps贯穿全流程的研发运营安全理念已经深入人心,得到了广泛的认可。安全左移,从软件需求设计早期便考虑安全,从源头处提升安全能力,已被证明可以有效地、低成本地解决大量现存的安全问题,全面提升应用服务的整体安全能力,助推数字经济的整体发展。DevSecOps敏捷安全大会的举办,为聚集行业智慧、为创新思维交流提供了非常好的平台。” 栗蔚女士在致辞当中对DevSecOps发展趋势予以充分的数据说明,侧重分享了DevSecOps研发运营发展当前所呈现的特点,重点强调DevSecOps产业市场的发展潜力巨大。
图:中国工程院院士沈昌祥先生发表主题演讲
中国工程院院士沈昌祥先生也做客DSO 2021大会现场,并从国家政策和网络环境的宏观角度,与现场观众分享了如何打造安全可信软件产业新生态的探索。在沈院士的演讲中,详细介绍了主动免疫可信计算“安全可信体系框架”的六大要素,强调安全可信计算实施运算同时进行免疫的安全防护,使存在的缺陷不被攻击者利用,来达到预期的计算目标。按国家网络安全法律、战略及等保制度构建主动免疫防护的新体系,用中国自主创新安全可信体系解决受制于人的问题。
图:悬镜安全创始人兼CEO子芽先生发表欢迎致辞并做技术分享
DSO 2021主办方悬镜安全创始人兼CEO子芽先生向现场与会者做欢迎致辞,并表示:“对于大会的创立初心,我们希望在敏捷安全的实践过程中,搭建一个汇集行业用户、产业智库、安全媒体及技术厂商的DevSecOps生态交流平台,能够让大家齐鸣、共舞。”在技术分享的重点环节,他也就DevSecOps敏捷安全技术的未来技术演进趋势做了深度分享,并明确提出,上线前异常行为代码的检测、基于威胁的安全测试及RASP自适应威胁免疫技术,会成为接下来业界在现代应用风险治理方面的一个新方向。
图:《软件供应链安全白皮书(2021)》发布
作为本次大会的重磅环节,由中国信通院与悬镜安全联合编撰的《软件供应链安全白皮书(2021)》于会议现场发布,中国信通院云大所副所长栗蔚女士与悬镜安全创始人兼CEO子芽先生共同启动白皮书发布仪式。
图:悬镜安全首席运营官董毅先生对《软件供应链安全白皮书(2021)》进行解读
悬镜安全首席运营官董毅先生对白皮书进行解读,着重阐述了软件供应链的定义、生态,以及目前存在的主要攻击类型。董毅先生以悬镜安全社群调研数据为例,展示了当前组织中安全人员修复已知漏洞所耗费的时间成本,重点强调了在缺陷管理中SBOM(软件物料清单)的重要性,以及在白皮书中首次公开的软件供应商评估模型与管理流程。
图:中国信通院云大所云计算部副主任郭雪女士解读IAST标准
作为DSO 2021大会出品人之一,中国信通院云大所云计算部副主任郭雪女士于现场进行了首次公开的《交互式应用程序安全测试工具能力要求》(IAST)标准解读。她表示,信通院之所以会制定IAST的标准,原因在于业内对研发安全的认知尚处于初级阶段,而通过数据显示,在设计和研发阶段关注安全问题,使安全左移,能有效节约成本高达上百倍。IAST在整个安全工具的标准中处于重要位置,相较于较早的SAST及DAST工具有明显优势。郭雪女士于会上对所制定IAST工具能力的具体要求进行了详细的深度解读。
图:圆桌论坛,嘉宾从左至右依次为:
主持人——北京赛博英杰科技有限公司创始人、正奇学院创办人、业内资深安全专家谭晓生先生;
嘉宾——腾讯科技安全产品规划总监程文杰先生;华为技术有限公司华为云安全工程专家孙志敏先生;青藤云安全技术副总裁张嵩先生;悬镜安全首席技术官宁戈先生
在圆桌讨论环节,主持人与四位安全领域专家共同围绕“快时代下的软件供应链安全”主题进行观点分享。主持人北京赛博英杰科技有限公司创始人、正奇学院创办人,业内资深安全专家谭晓生先生,与腾讯科技安全产品规划总监程文杰先生、华为技术有限公司华为云安全工程专家孙志敏先生、青藤云安全技术副总裁张嵩先生,以及悬镜安全首席技术官宁戈先生四位嘉宾,就当前软件快速迭代与数字化转型大背景下的供应链安全,共同探讨了各位嘉宾所在企业的安全风险治理最佳实践经验、组织内安全意识培训与安全项目推动方式、云原生环境下的软件供应链安全保障工作变化、容器与传统虚机相比安全能力要求的不同等问题。
除上述议题外,中国电信研究院资深安全专家游耀东先生、青藤云安全联合创始人兼产品副总裁胡俊先生、汇丰科技中国证券服务科技部DevSecOps负责人周纪海先生、腾讯科恩实验室高级安全研发工程师张文凯先生、平安壹钱包DevSecOps负责人汪永辉先生、华泰证券应用与业务安全团队负责人庄飞先生、腾讯安全平台部高级安全研究员范传辉先生、北京中测安华科技有限公司安全运营部总监姚原岗博士,及腾讯云CODING高级产品经理俞典女士,分别在本届大会上就DevSecOps和软件供应链安全的体系建设与实践经验做了精彩分享,合力为相关安全从业者打造了一场以敏捷安全为主题的技术盛宴。
为期一天的首届DevSecOps敏捷安全大会圆满落幕,作为大会出品人,悬镜安全创始人兼CEO子芽先生为本届大会送上寄语:“上善若水,水利万物而不争。希望从DSO 2021起,我们能携手行业创新力量,持续共建一个普惠的DevSecOps生态。”