云原生时代,应用开源化、开发敏捷化、架构微服务化、基础设施容器化,使得数字供应链安全风险日趋严峻。随着企业数字化转型步入深水区,数字化应用已逐渐进入到业务发展、技术研发、企业管理等各个场景,贯穿于企业发展全生命周期。数字革命席卷而来,悬镜安全顺势而为。2023年4月14日,由中国网络安全产业联盟(CCIA)和悬镜安全联合举办的“数字供应链安全治理与实践”技术沙龙在京圆满举办。
本次技术沙龙采取“线下沙龙+线上直播”模式同步进行,线下有来自金融、互联网、通信、网络安全等领域的七十余位安全技术大咖、行业意见领袖、资深媒体学者齐聚一堂,线上有7000+行业用户参与直播互动,线上线下技术联动,精彩纷呈,共同探讨如何应对新时代数字供应链面临的威胁与挑战,分享关键技术创新发展成果以及治理方案的实践落地。中国网络安全产业联盟副秘书长许玉娜、中泰证券科技研发部总监陈树冰、中国移动智慧家庭运营中心高级业务安全专家郑国忠、字节跳动云安全产品解决方案架构师陈飞、平安壹钱包DevSecOps运营负责人汪永辉、悬镜安全CTO宁戈、悬镜安全CMO Sunny出席了本次技术沙龙。安全419创始人兼CEO张毅作为本次技术沙龙特邀主持人。
聚焦数字革命发展新态势,CCIA技术沙龙与您共同探索企业数字转型新范式。十年磨一剑,圆润也锋芒。本次CCIA技术沙龙重磅环节,悬镜CTO宁戈分享了悬镜在数字供应链安全领域多年的技术沉淀成果与商业实践案例,以及企业数字化转型不同阶段所需要的安全能力建设的整体方案。
领导致辞-中国网络安全产业联盟副秘书长许玉娜
许玉娜在致辞中指出,党的二十大报告中强调要坚决维护国家安全和社会稳定。网络安全作为网络强国、数字中国的底座,将在未来的发展中承担托底的重担,是我国现代化产业体系中不可或缺的部分。近年来,数字供应链安全风险已成为企业数字化转型过程中面临的重大网络安全问题之一,加快落地数字供应链安全治理工作迫在眉睫。企业亟需从各个层面建立数字供应链安全风险的发现能力、分析能力、处置能力、防护能力,整体提升数字供应链安全管理的水平。
中泰证券科技研发部总监陈树冰:云原生DevSecOps的建设探索与实践
陈树冰表示,未来数字化应用在云原生环境下研发及运行,在DevOps平台和体系基础上,云原生环境下的数字供应链安全体系运营流程需要实现端到端且高效地运转,因此,DevSecOps体系建设尤为重要。中泰证券基于《研发运营一体化(DevOps)能力成熟度模型》,以DevOps流程为中心,将包括悬镜安全在内的厂商提供的安全能力融入各关键阶段,覆盖云原生下研发、交付、运营全过程,为企业的数字供应链提供安全防护闭环。得益于DevSecOps的实践落地,中泰证券完善了安全管理规范,通过安全左移,大幅提升应用交付效率的同时降低了线上运营压力。
悬镜安全CTO宁戈:数字供应链安全下的代码疫苗技术治理与实践
宁戈分享了悬镜原创专利级代码疫苗技术的架构原理、能力象限以及其在数字应链安全管理体系中的关键作用。他表示,代码疫苗技术统一融合了IAST、SCA、RASP、DRA、API、APM等能力,只需一个探针就能解决数字化应用长期面临的安全漏洞、数据泄漏、运行异常、0Day等风险,减轻多探针运维压力的同时,为应用植入“代码疫苗”,实现应用与安全共生。
在整个数字供应链安全管理体系中,代码疫苗技术及相关的敏捷安全工具既能确保数字化应用生产过程安全透明,帮助形成完善的研发运营体系,防止应用带“病”上线的同时生成可信的软件物料清单(SBOM);又能对于存量的上线应用资产进行梳理,并提供持续动态风险免疫能力,确保建立快速的应急响应能力;此外还能对外部采购、外包交付的应用进行数字供应链安全审查。
中国移动高级业务安全专家郑国忠:软件供应链安全:从威胁到解决方案
郑国忠表示,开源技术蓬勃发展,已成为企业数字化转型的核动力,但也给企业带来了软件供应链安全威胁。软件供应链安全风险存在于供应链的各个环节,单点的防御检测已经无法满足企业安全防御的需求。中国移动智慧家庭运营中心依据软件供应链的特点,借鉴行业解决思路,采用四化合一的架构,从组织保障、流程建设、场景识别、能力固化四个方面,依托自身的SDL安全研发能力,通过源头治理、过程治理和线上运营治理三阶段的安全管控,构建起供应链软件全生命周期的安全治理体系,实现软件供应链安全主动防范、纵深防御、精准防护、整体防护的能力。
字节跳动云安全产品解决方案架构师陈飞:云原生安全思考与实践
字节跳动云安全产品解决方案架构师陈飞在分享中指出,随着云原生技术大规模应用,云原生安全保护成为企业在数字化转型过程中关注的热点之一。字节跳动在云原生安全领域深入探索实践,打造云原生安全能力矩阵,基于典型CI/CD流程,嵌入丰富的安全能力,实现完善的安全保护机制,同时参考融合业界典型的CNAPP模型,形成更进一步的云原生安全体系化建设思路。在具体落地实践层面,字节跳动会关注“全流程端到端漏洞风险治理、网络访问风险可观测可控制、基于云原生行为的检测响应处溯源、面向云原生多云多态管理”多个要点,切实保障在云原生场景下各业务应用的持续运营。
平安壹钱包DevSecOps运营负责人汪永辉:数据驱动敏捷安全落地
汪永辉以数据的形式分享了他在DevSecOps落地方面的思考和感悟。首先他通过展示包括Log4j、fastjson在内一连串开源组件的漏洞修复率和修复速率,体现了DevSecOps在数字供应链安全管理方面的关键成效。紧接着,他指出各项敏捷安全能力建设需要考量企业安全现状,以平安壹钱包为例,会通过内部调研分析,将各项安全能力的优先级量化,从而规划安全建设的重点。最后他也坦言,做好企业的安全工作既要自身不懈坚持也要与悬镜安全这类技术驱动、产品服务落地的厂商积极合作,实现“1+1=2”。
数字转型安全话题“你问我答”
演讲嘉宾的精彩分享激发了现场的热烈讨论,在技术沙龙的互动交流环节,来自《网络安全和信息化》、GoUpSec、《信息安全与通信保密》的与会嘉宾提出了大家重点关注的话题。
《网络安全和信息化》:企业的DevSecOps建设有什么方法论?
平安壹钱包DevSecOps运营负责人汪永辉:DevSecOps建设是个跨领域的工作,不仅需要与领导持续交流沟通,而且需要在企业内部推动开发、运维、安全等相关部门的协作。要真正实现DevSecOps任重而道远,无捷径可言,需要人来坚持不懈地推动。
GoUpSec:安全厂商在提供DevSecOps产品和服务时,如何满足用户的差异化需求?
悬镜安全CTO宁戈:以悬镜为例,主要通过打造标准化、模块化、灵活化的安全产品及服务,来满足用户的不同需求。
《信息安全与通信保密》:云原生安全实践包含哪些重点工作?
字节跳动云安全产品解决方案架构师陈飞:字节跳动基于内部实践经验认为,好的工具、平台和流程保障以及安全、开发、运维人员的紧密合作,能有效推动云原生安全体系的落地。
雄关漫道真如铁,而今迈步从头越。本次活动,与会嘉宾不仅收获了数字供应链安全建设落地实践的真知灼见,也深刻认知到数字化供应链安全实践的应用原理与关键技术。悬镜安全AI智能引领数字供应链安全,向未来,更进一步,正如诗人王之涣所说:“登高壮观天地间,大江茫茫去不还。”我们在数字时代的道路上行进,需要不断地攀登高峰,才能t望更广阔的天地,创造更美好的未来。悬镜安全会持续发挥其引领数字供应链安全的领导作用,为网络强国、数字中国的建设发展提供强有力的安全保障,持续守护中国数字供应链安全。