懸鏡成功舉辦CCIA技術(shù)沙龍 | 數(shù)字供應(yīng)鏈安全治理與實(shí)踐

云原生時(shí)代，應(yīng)用開源化、開發(fā)敏捷化、架構(gòu)微服務(wù)化、基礎(chǔ)設(shè)施容器化，使得數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)日趨嚴(yán)峻。隨著企業(yè)數(shù)字化轉(zhuǎn)型步入深水區(qū)，數(shù)字化應(yīng)用已逐漸滲透到業(yè)務(wù)發(fā)展、技術(shù)研發(fā)、企業(yè)管理等各個(gè)場(chǎng)景，貫穿于企業(yè)發(fā)展全生命周期。數(shù)字革命席卷而來，懸鏡安全順勢(shì)而為。2023年4月14日，由中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）和懸鏡安全聯(lián)合舉辦的“數(shù)字供應(yīng)鏈安全治理與實(shí)踐”技術(shù)沙龍?jiān)诰﹫A滿舉辦。

本次技術(shù)沙龍采取“線下沙龍+線上直播”模式同步進(jìn)行，線下有來自金融、互聯(lián)網(wǎng)、通信、網(wǎng)絡(luò)安全等領(lǐng)域的七十余位安全技術(shù)大咖、行業(yè)意見領(lǐng)袖、資深媒體學(xué)者齊聚一堂，線上有7000+行業(yè)用戶參與直播互動(dòng)，線上線下技術(shù)聯(lián)動(dòng)，精彩紛呈，共同探討如何應(yīng)對(duì)新時(shí)代數(shù)字供應(yīng)鏈面臨的威脅與挑戰(zhàn)，分享關(guān)鍵技術(shù)創(chuàng)新發(fā)展成果以及治理方案的實(shí)踐落地。中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟副秘書長(zhǎng)許玉娜、中泰證券科技研發(fā)部總監(jiān)陳樹冰、中國(guó)移動(dòng)智慧家庭運(yùn)營(yíng)中心高級(jí)業(yè)務(wù)安全專家鄭國(guó)忠、字節(jié)跳動(dòng)云安全產(chǎn)品解決方案架構(gòu)師陳飛、平安壹錢包DevSecOps運(yùn)營(yíng)負(fù)責(zé)人汪永輝、懸鏡安全CTO寧戈、懸鏡安全CMO Sunny出席了本次技術(shù)沙龍。安全419創(chuàng)始人兼CEO張毅作為本次技術(shù)沙龍?zhí)匮�主持人�?/P>

領(lǐng)導(dǎo)致辭-中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟副秘書長(zhǎng)許玉娜

許玉娜在致辭中指出，黨的二十大報(bào)告中強(qiáng)調(diào)要堅(jiān)決維護(hù)國(guó)家安全和社會(huì)穩(wěn)定。網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)的底座，將在未來的發(fā)展中承擔(dān)托底的重?fù)?dān)，是我國(guó)現(xiàn)代化產(chǎn)業(yè)體系中不可或缺的部分。近年來，數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)已成為企業(yè)數(shù)字化轉(zhuǎn)型過程中面臨的重大網(wǎng)絡(luò)安全問題之一，加快落地?cái)?shù)字供應(yīng)鏈安全治理工作迫在眉睫。企業(yè)亟需從各個(gè)層面建立數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)的發(fā)現(xiàn)能力、分析能力、處置能力、防護(hù)能力，整體提升數(shù)字供應(yīng)鏈安全管理的水平。

中泰證券科技研發(fā)部總監(jiān)陳樹冰：云原生DevSecOps的建設(shè)探索與實(shí)踐

陳樹冰表示，未來數(shù)字化應(yīng)用在云原生環(huán)境下研發(fā)及運(yùn)行，在DevOps平臺(tái)和體系基礎(chǔ)上，云原生環(huán)境下的數(shù)字供應(yīng)鏈安全體系運(yùn)營(yíng)流程需要實(shí)現(xiàn)端到端且高效地運(yùn)轉(zhuǎn)，因此，DevSecOps體系建設(shè)尤為重要。中泰證券基于《研發(fā)運(yùn)營(yíng)一體化（DevOps）能力成熟度模型》，以DevOps流程為中心，將包括懸鏡安全在內(nèi)的廠商提供的安全能力融入各關(guān)鍵階段，覆蓋云原生下研發(fā)、交付、運(yùn)營(yíng)全過程，為企業(yè)的數(shù)字供應(yīng)鏈提供安全防護(hù)閉環(huán)。得益于DevSecOps的實(shí)踐落地，中泰證券完善了安全管理規(guī)范，通過安全左移，大幅提升應(yīng)用交付效率的同時(shí)降低了線上運(yùn)營(yíng)壓力。

懸鏡安全CTO寧戈：數(shù)字供應(yīng)鏈安全下的代碼疫苗技術(shù)治理與實(shí)踐

寧戈分享了懸鏡原創(chuàng)專利級(jí)代碼疫苗技術(shù)的架構(gòu)原理、能力象限以及其在數(shù)字應(yīng)鏈安全管理體系中的關(guān)鍵作用。他表示，代碼疫苗技術(shù)統(tǒng)一融合了IAST、SCA、RASP、DRA、API、APM等能力，只需一個(gè)探針就能解決數(shù)字化應(yīng)用長(zhǎng)期面臨的安全漏洞、數(shù)據(jù)泄漏、運(yùn)行異常、0Day攻擊等風(fēng)險(xiǎn)，減輕多探針運(yùn)維壓力的同時(shí)，為應(yīng)用植入“代碼疫苗”，實(shí)現(xiàn)應(yīng)用與安全共生。

在整個(gè)數(shù)字供應(yīng)鏈安全管理體系中，代碼疫苗技術(shù)及相關(guān)的敏捷安全工具既能確保數(shù)字化應(yīng)用生產(chǎn)過程安全透明，幫助形成完善的研發(fā)運(yùn)營(yíng)體系，防止應(yīng)用帶“病”上線的同時(shí)生成可信的軟件物料清單（SBOM）；又能對(duì)于存量的上線應(yīng)用資產(chǎn)進(jìn)行梳理，并提供持續(xù)動(dòng)態(tài)風(fēng)險(xiǎn)免疫能力，確保建立快速的應(yīng)急響應(yīng)能力；此外還能對(duì)外部采購、外包交付的應(yīng)用進(jìn)行數(shù)字供應(yīng)鏈安全審查。

中國(guó)移動(dòng)高級(jí)業(yè)務(wù)安全專家鄭國(guó)忠：軟件供應(yīng)鏈安全，從威脅到解決方案

鄭國(guó)忠表示，開源技術(shù)蓬勃發(fā)展，已成為企業(yè)數(shù)字化轉(zhuǎn)型的核動(dòng)力，但也給企業(yè)帶來了軟件供應(yīng)鏈安全威脅。軟件供應(yīng)鏈安全風(fēng)險(xiǎn)存在于供應(yīng)鏈的各個(gè)環(huán)節(jié)，單點(diǎn)的防御檢測(cè)已經(jīng)無法滿足企業(yè)安全防御的需求。中國(guó)移動(dòng)智慧家庭運(yùn)營(yíng)中心依據(jù)軟件供應(yīng)鏈的特點(diǎn)，借鑒行業(yè)解決思路，采用四化合一的架構(gòu)，從組織保障、流程建設(shè)、場(chǎng)景識(shí)別、能力固化四個(gè)方面，依托自身的SDL安全研發(fā)能力，通過源頭治理、過程治理和線上運(yùn)營(yíng)治理三階段的安全管控，構(gòu)建起供應(yīng)鏈軟件全生命周期的安全治理體系，實(shí)現(xiàn)軟件供應(yīng)鏈安全主動(dòng)防范、縱深防御、精準(zhǔn)防護(hù)、整體防護(hù)的能力。

字節(jié)跳動(dòng)云安全產(chǎn)品解決方案架構(gòu)師陳飛：云原生安全思考與實(shí)踐

字節(jié)跳動(dòng)云安全產(chǎn)品解決方案架構(gòu)師陳飛在分享中指出，隨著云原生技術(shù)大規(guī)模應(yīng)用，云原生安全保護(hù)成為企業(yè)在數(shù)字化轉(zhuǎn)型過程中關(guān)注的熱點(diǎn)之一。字節(jié)跳動(dòng)在云原生安全領(lǐng)域深入探索實(shí)踐，打造云原生安全能力矩陣，基于典型CI/CD流程，嵌入豐富的安全能力，實(shí)現(xiàn)完善的安全保護(hù)機(jī)制，同時(shí)參考融合業(yè)界典型的CNAPP模型，形成更進(jìn)一步的云原生安全體系化建設(shè)思路。在具體落地實(shí)踐層面，字節(jié)跳動(dòng)會(huì)關(guān)注“全流程端到端漏洞風(fēng)險(xiǎn)治理、網(wǎng)絡(luò)訪問風(fēng)險(xiǎn)可觀測(cè)可控制、基于云原生行為的檢測(cè)響應(yīng)處溯源、面向云原生多云多態(tài)管理”多個(gè)要點(diǎn)，切實(shí)保障在云原生場(chǎng)景下各業(yè)務(wù)應(yīng)用的持續(xù)運(yùn)營(yíng)。

平安壹錢包DevSecOps運(yùn)營(yíng)負(fù)責(zé)人汪永輝：數(shù)據(jù)驅(qū)動(dòng)敏捷安全落地

汪永輝以數(shù)據(jù)的形式分享了他在DevSecOps落地方面的思考和感悟。首先他通過展示包括Log4j、fastjson在內(nèi)一連串開源組件的漏洞修復(fù)率和修復(fù)速率，體現(xiàn)了DevSecOps在數(shù)字供應(yīng)鏈安全管理方面的關(guān)鍵成效。緊接著，他指出各項(xiàng)敏捷安全能力建設(shè)需要考量企業(yè)安全現(xiàn)狀，以平安壹錢包為例，會(huì)通過內(nèi)部調(diào)研分析，將各項(xiàng)安全能力的優(yōu)先級(jí)量化，從而規(guī)劃安全建設(shè)的重點(diǎn)。最后他也坦言，做好企業(yè)的安全工作既要自身不懈堅(jiān)持也要與懸鏡安全這類技術(shù)驅(qū)動(dòng)、產(chǎn)品服務(wù)落地的廠商積極合作，實(shí)現(xiàn)“1+1=2”。

數(shù)字轉(zhuǎn)型安全話題“你問我答”

演講嘉賓的精彩分享激發(fā)了現(xiàn)場(chǎng)的熱烈討論，在技術(shù)沙龍的互動(dòng)交流環(huán)節(jié)，來自《網(wǎng)絡(luò)安全和信息化》、GoUpSec、《信息安全與通信保密》的與會(huì)嘉賓提出了大家重點(diǎn)關(guān)注的話題。

《網(wǎng)絡(luò)安全和信息化》：企業(yè)DevSecOps建設(shè)有什么方法論？

汪永輝：DevSecOps建設(shè)是個(gè)跨領(lǐng)域的工作，不僅需要與領(lǐng)導(dǎo)持續(xù)交流溝通，而且需要在企業(yè)內(nèi)部推動(dòng)開發(fā)、運(yùn)維、安全等相關(guān)部門的協(xié)作。要真正實(shí)現(xiàn)DevSecOps任重而道遠(yuǎn)，無捷徑可言，需要人來堅(jiān)持不懈地推動(dòng)。

GoUpSec：安全廠商在提供DevSecOps產(chǎn)品和服務(wù)時(shí)，如何滿足用戶的差異化需求？

寧戈：以懸鏡為例，主要通過打造標(biāo)準(zhǔn)化、模塊化、靈活化的安全產(chǎn)品及服務(wù)，來滿足用戶的不同需求。

《信息安全與通信保密》：云原生安全實(shí)踐包含哪些重點(diǎn)工作？

陳飛：字節(jié)跳動(dòng)基于內(nèi)部實(shí)踐經(jīng)驗(yàn)認(rèn)為，好的工具、平臺(tái)和流程保障以及安全、開發(fā)、運(yùn)維人員的緊密合作，能有效推動(dòng)云原生安全體系的落地。

雄關(guān)漫道真如鐵，而今邁步從頭越。本次活動(dòng)，與會(huì)嘉賓不僅收獲了數(shù)字供應(yīng)鏈安全建設(shè)落地實(shí)踐的真知灼見，也深刻認(rèn)知到數(shù)字化供應(yīng)鏈安全實(shí)踐的應(yīng)用原理與關(guān)鍵技術(shù)。懸鏡安全AI智能引領(lǐng)數(shù)字供應(yīng)鏈安全，向未來，更進(jìn)一步，正如詩人王之渙所說：“登高壯觀天地間，大江茫茫去不還�！蔽覀�?cè)跀?shù)字時(shí)代的道路上行進(jìn)，需要不斷地攀登高峰，才能瞭望更廣闊的天地，創(chuàng)造更美好的未來。懸鏡安全會(huì)持續(xù)發(fā)揮其引領(lǐng)數(shù)字供應(yīng)鏈安全的領(lǐng)導(dǎo)作用，為網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)的建設(shè)發(fā)展提供強(qiáng)有力的安全保障，持續(xù)守護(hù)中國(guó)數(shù)字供應(yīng)鏈安全。