DSO 2022 | “共生?敏捷?進化”第二屆全球DevSecOps敏捷安全大會圓滿舉行
責編:gltian |2022-12-29 17:19:112022年12月28日,由懸鏡安全主辦,3S-Lab軟件供應鏈安全實驗室、Linux基金會OpenChain社區、ISC、OpenSCA社區聯合協辦的第二屆全球DevSecOps敏捷安全大會(DSO 2022)已通過全球直播的形式圓滿舉行。本屆大會以“共生·敏捷·進化”為主題,以“敏捷共生,守護中國軟件供應鏈安全”為使命,聚焦DevSecOps敏捷安全、軟件供應鏈安全和云原生安全三大典型應用場景下的新技術、新態勢、新實踐。
本屆大會由ISC-n世界、安全客、數說安全、安在、看雪、嘶吼、指尖安全、微贊等10余家媒體平臺與懸鏡安全官方視頻號聯合直播、全球首發,在線觀看人數據不完全統計超7萬人。安全圈“產學研用”各界實力代表濟濟一堂共享技術饕餮盛宴。
關注“懸鏡安全”官方服務號,獲取大會詳情
領導致辭
北京大學陳鐘教授:構建一體化安全保障體系,筑牢數字經濟發展堅實底座
?
圖1 北京大學計算機學院網絡與安全實驗室主任 陳鐘
網絡安全與信息化是數字經濟發展的一體之兩翼、驅動之雙輪。北京大學計算機學院網絡與安全實驗室主任陳鐘教授在致辭中指出,信息化的核心關鍵是軟件,萬物互聯時代,開源代碼被普遍使用,軟件供應鏈攻擊事件頻發;云計算、容器等技術的普及改變了原有的應用架構、開發模式、基礎設施,增加了安全防護復雜性。針對網絡安全新挑戰,陳鐘教授提出政企組織需要從“抓好管理、用好技術和技管結合”三個維度構建一體化的安全保障體系。
在致辭的最后,陳鐘教授總結到,打造數字經濟發展的安全底座,需要共建、共治、共享,打通產業鏈上下游,共享威脅情報,建立協同聯動的聯防聯控機制,加速“產學研用”的深度融合,加大核心技術關鍵領域全方位、多層面協同創新突破,構建網絡安全命運共同體。
出品人洞察
DSO大會出品人子芽:DevSecOps敏捷安全技術演進洞察(2022)
?
圖2 DSO敏捷安全大會出品人 子芽
2022年,國際知名咨詢機構IDC將DevSecOps定義為驅動云安全的變革型技術。DSO敏捷安全大會出品人子芽在主題分享中,指出了促使軟件供應鏈躍遷式演進并推動DevSecOps快速發展的四大積極的新變化,并對DevSecOps敏捷安全體系進行了系統梳理和深度闡述。
DevSecOps敏捷安全技術金字塔V3.0是本次出品人洞察的核心亮點。DevSecOps敏捷安全技術金字塔是子芽基于長期DevSecOps敏捷安全技術前沿研究探索成果以及懸鏡安全團隊在軟件供應鏈安全和云原生安全領域多年的應用實踐沉淀匯聚而來,融合了國內外行業頭部企業 “安全左移,從源頭做風險治理”和“敏捷右移,安全運營敏捷化”的實踐思想,并持續內涵了“出廠自免疫、敏捷自適應、共生自進化”的關鍵特性。其中,不同敏捷安全技術棧落入金字塔不同實踐階層的重點考量主要圍繞“技術創新度、產品成熟度和市場需求度”三個維度展開。
圖3 DevSecOps敏捷安全技術金字塔V3.0
嘉賓主題演講
本屆大會上,圍繞時下DevSecOps、軟件供應鏈安全、云原生安全、開源安全等領域熱點話題,來自國內外“產學研用”各界的頂尖技術專家、行業意見領袖、資深學者智囊、企業精英代表等紛紛帶來了精彩的主題演講。
OpenChain Shane:OpenChain and Building Trust in the Supply Chain
?
圖4 OpenChain總經理 Shane Coughlan
軟件供應鏈開源化使得各個環節不可避免地受到開源應用的影響,開源應用的安全性將直接影響軟件供應鏈的安全性,其中開源許可證合規風險是核心安全問題之一。OpenChain總經理Shane Coughlan在主題演講中,詳細介紹了他們所制定的開源許可證合規領域國際標準OpenChain ISO/IEC 5230:2020。Shane指出,該標準旨在幫助企業組織明確處理軟件入站、內部和出站跟蹤所需的關鍵拐點,從而顯著降低開源軟件許可證合規風險。他也透露OpenChain在今年已經推出可落地應用的開源軟件安全標準,并將在2023年促其成為ISO標準。最后,Shane呼吁越來越多的公司加入OpenChain社區,共同打造安全和值得信賴的開源軟件供應鏈。
中國信通院郭雪:中國信通院軟件供應鏈安全標準體系建設
?
圖5 中國信通院云大所開源和軟件安全部副主任 郭雪
近年來,以Log4j2、SolarWinds事件為代表的軟件供應鏈攻擊頻發,對個人的隱私和財產安全乃至國家安全造成了重大威脅,國內外均加快了軟件供應鏈安全標準體系的建設。中國信息通信研究院云計算與大數據研究所開源和軟件安全部副主任郭雪,在大會上分享了相關標準的研制情況以及編制思路。信通院軟件供應鏈安全管理標準體系圍繞引入、生產和應用三大環節,共分為五個關鍵模塊。在談及安全平臺和工具鏈體系模塊時,郭雪重點講解了于2022年年末編制完成的RASP標準。該標準涵蓋了七大能力要求,并已落地了相應的評估測試,通過的產品包括懸鏡云鯊RASP等。
中國電信研究院何國鋒:高可信內生安全網絡助力數字化轉型
圖6 中國電信研究院安全技術研究所所長 何國鋒
中國電信研究院安全技術研究所所長何國鋒在主題演講中指出,數字化時代有三個明顯的特征:軟件定義、云網融合和萬物數字化時代,促使安全挑戰加劇,傳統的防護方式已無法滿足新的安全要求,亟待新安全理念、新技術體系或者新能力的落地應用。在這一背景下,何國鋒分享了由中國電信研究院提出的解決方案——高可信內生安全網絡架構。通過高可信內生安全技術體系,最終可實現自身健壯、自主感知、自動防護、自我成長和自適彈性即可信、免疫和彈性,通過覆蓋系統全生命周期、全棧、端對端的安全能力,賦能數字化轉型。
華為云鄭志強:華為開源治理實踐分享
圖7 華為云計算技術有限公司網絡安全專家 鄭志強
如何正確使用開源軟件,規避因開源漏洞、許可證和政治因素導致的開源風險,是企業共同面臨的現實問題。華為云計算技術有限公司網絡安全專家鄭志強在大會上,從開源及第三方軟件管控、開源漏洞響應處理、開源及第三方工程實踐多維度介紹了華為開源治理實踐以及一整套從組織、流程到規范的開源治理體系。鄭志強指出,在華為產品研發過程中,從安全設計、隱私合規、代碼檢查、成分分析到安全測試,每個環節都會匹配相應的管控平臺和自動化流程,從而確保開源及第三方軟件風險得到收斂。
騰訊謝奕智:騰訊云RASP實踐
圖8 騰訊主機安全/容器安全負責人 謝奕智
云原生時代,高危漏洞頻發,云上租戶面臨嚴峻的漏洞攻擊形勢,但漏洞修復面臨多樣化挑戰。基于此,騰訊主機安全/容器安全負責人謝奕智在主題分享中介紹了騰訊云漏洞防御方案。謝奕智表示,為突破漏洞修復困局,可以將思路從“修”轉為“防”,通過網絡側虛擬補丁和主機側RASP虛擬補丁實現漏洞防御。相較于網絡側的WAF和FW,RASP具備經濟成本低、支持0day防御、支持東西向防御和難繞過四大優勢,因而具備一定的必要性。在演講的最后,謝奕智還分享了RASP產品基本標準,助力相關工具選型工作。
中國信息安全測評中心王曉萌:軟件供應鏈實體要素剖析與安全風險防范
圖9 中國信息安全測評中心高級專家 王曉萌
來自中國信息安全測評中心的高級專家王曉萌,在本屆大會上以軟件供應鏈實體要素為切入點,圍繞軟件供應鏈安全威脅與挑戰、國內外軟件供應鏈安全政策措施以及我國軟件供應鏈安全的現狀和特點,進行了深入的分析。為解決我國軟件供應鏈面臨的安全問題,王曉萌認為需要提前布局,結合國內軟件供應鏈特點,建立全流程軟件供應鏈安全保障體系,全面提升軟件供應鏈的風險管理能力。在他看來,在體系搭建過程中,企業需要重點防范供應關系中斷以及供應活動中引入的漏洞、后門、知識產權風險、數據安全等問題。
恒生電子唐冬:金融供應商開源治理實踐
圖10 恒生電子股份有限公司安全測試部部長 唐冬
針對開源組件進行統一有效的管理同樣是金融企業內部十分重視的安全工作。恒生電子股份有限公司安全測試部部長唐冬在本屆大會上分享了恒生電子在開源治理方面的深入實踐。唐冬圍繞“軟件資產準用管理、軟件資產風險監測、研發過程風險管控、產品持續風險監測以及軟件資產退出管理”這開源治理過程的五大核心,詳細介紹了恒生電子內部的開源治理體系。在演講的最后,唐冬坦言,開源治理體系的建立重點是要解決組織和人員問題,企業需要基于自身現有研發體系和實際業務情況,尋找適合自己的最佳實踐。
博云科技靳亮:黃金時代·乘云問道之云原生
圖11 博云科技副總經理、董事 靳亮
博云科技副總經理、董事靳亮在主題演講中表示,對于IT行業而言,當下仍然是黃金時代,因為借助云原生實現自身數字化轉型升級是大部分企業的必由之路。作為云原生代表廠商的博云科技在專注為用戶提供包括DevOps平臺在內的產品和服務時,深切領悟到在當下的市場環境中“單兵作戰”的局限性。靳亮以博云科技和懸鏡安全多年來的生態合作為例,指出云原生產業上下游的廠商通過彼此技術賦能和互補,為用戶提供完整解決方案,是他們所一直推崇的發展之路。靳亮在演講中多次強調:“先做好自己,找到一群同樣做好自己的伙伴,stronger together,共同服務用戶,為社會建設貢獻力量。”
中國移動儲蘭芳:中國移動云能力中心DevSecOps之研發安全探索與實踐
軟件技術有限公司研發管理專家-儲蘭芳.png)
圖12 中移(蘇州)軟件技術有限公司研發管理專家 儲蘭芳
中移(蘇州)軟件技術有限公司研發管理專家儲蘭芳帶來了中國移動云能力中心對DevSecOps的探索與實踐。儲蘭芳介紹到,隨著云市場規模持續放大,云網融合可以成為運營商在5G時代的核心競爭業務之一,移動云作為中國移動戰略性基礎性和基礎性業務應用而生,卻也面臨復雜多變的安全威脅。為此,中國移動云能力中心參考DevSecOps標準,協同運維、建設、研發、市場四領域,從安全責任主體、制度流程及支撐工具三方面將安全要求內建到研發過程中,實現安全左移,提升了持續交付和安全管理能力。
vivo成明江:vivo移動終端安全工程實踐
?
圖13 維沃移動通信有限公司安全工程組高級經理 成明江
數字化時代,隱私安全成為人們關注的焦點。維沃移動通信有限公司安全工程組高級經理成明江在主題演講中直言,信息安全與隱私保護是vivo最為重要的兩大課題。成明江介紹到,vivo基于原創的安全與隱私保護體系架構,通過內部PROTECT安全技術戰略,從安全技術、安全工程和安全對抗三大方向,切實保障用戶的隱私安全。在重點介紹安全工程方向的實踐時,成明江指出,vivo是基于自身成熟的IPD集成產品開發流程,將網絡安全和隱私保護的要求融入各個環節,在這一過程中需要借助相應的安全能力作為支撐。
OpenSSF、極狐GitLab馬景賀:DevSecOps如何助力開源軟件供應鏈安全
?
圖14 OpenSSF中國工作組副組長、極狐GitLab DevOps技術布道師 馬景賀
OpenSSF中國工作組副組長、極狐GitLab DevOps技術布道師馬景賀在大會主題演講環節分享了DevSecOps助力開源軟件供應鏈安全保障的原理和優勢。近兩年以來,開源發展迅猛,已成為數字基礎設施的關鍵要素。在馬景賀看來,安全是開源軟件供應鏈的底線,但現狀不容樂觀,針對供應鏈上游的攻擊也將對下游產生嚴重影響。在開源軟件供應鏈中,企業可以通過DevSecOps,將安全融入軟件開發生命周期的每個階段,確保向下游交付安全的產品。“每個企業都是供應鏈上的一個點,每個點借助DevSecOps手段保證自身安全,整個開源軟件供應鏈自然也是安全的。”馬景賀總結道。
小佑科技白黎明:云原生制品安全防護最佳實踐
圖15 小佑科技技術總監 白黎明
小佑科技的技術總監白黎明在主題演講中分享到,云原生制品是指在一個虛擬操作系統環境中僅安裝了用戶需要的應用程序及其依賴文件的鏡像,這個鏡像可以通過容器運行時引擎運行成一個容器來執行對應的任務,然而卻面臨來自開源組件、開源鏡像、政策合規、DevOps等多方面的安全風險。白黎明指出,云原生制品安全防護需要具備三大核心能力:企業級黃金鏡像、DevSecOps流程的安全插件、制品風險檢測及修復能力。圍繞這三大能力,白黎明完整介紹了小佑科技云原生制品DevSecOp最佳實踐,為廣大企業用戶提供了相關安全防護思路。
雖然第二屆全球DevSecOps敏捷安全大會已落下帷幕,但這并不意味著散場和結束,DevSecOps敏捷安全、軟件供應鏈安全、云原生安全等領域的關鍵技術創新迭代和實踐應用從未有一刻停止。DSO敏捷安全大會將持續發揮產業發展風向標的引領作用,牢牢把握前沿敏捷安全技術的發展脈搏,仔細聆聽數字經濟發展過程中的安全需求,攜手“產學研用”各界,敏捷共生,守護中國軟件供應鏈安全。
關注“懸鏡安全”、“DevSecOps敏捷安全大會”公眾號,獲取DSO大會更多精彩內容回顧。