懸鏡成功舉辦CCIA技術沙龍 | 數(shù)字供應鏈安全治理與實踐

云原生時代，應用開源化、開發(fā)敏捷化、架構(gòu)微服務化、基礎設施容器化，使得數(shù)字供應鏈安全風險日趨嚴峻。隨著企業(yè)數(shù)字化轉(zhuǎn)型步入深水區(qū)，數(shù)字化應用已逐漸滲透到業(yè)務發(fā)展、技術研發(fā)、企業(yè)管理等各個場景，貫穿于企業(yè)發(fā)展全生命周期。數(shù)字革命席卷而來，懸鏡安全順勢而為。2023年4月14日，由中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟（CCIA）和懸鏡安全聯(lián)合舉辦的“數(shù)字供應鏈安全治理與實踐”技術沙龍在京圓滿舉辦。

本次技術沙龍采取“線下沙龍+線上直播”模式同步進行，線下有來自金融、互聯(lián)網(wǎng)、通信、網(wǎng)絡安全等領域的七十余位安全技術大咖、行業(yè)意見領袖、資深媒體學者齊聚一堂，線上有7000+行業(yè)用戶參與直播互動，線上線下技術聯(lián)動，精彩紛呈，共同探討如何應對新時代數(shù)字供應鏈面臨的威脅與挑戰(zhàn)，分享關鍵技術創(chuàng)新發(fā)展成果以及治理方案的實踐落地。中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟副秘書長許玉娜、中泰證券科技研發(fā)部總監(jiān)陳樹冰、中國移動智慧家庭運營中心高級業(yè)務安全專家鄭國忠、字節(jié)跳動云安全產(chǎn)品解決方案架構(gòu)師陳飛、平安壹錢包DevSecOps運營負責人汪永輝、懸鏡安全CTO寧戈、懸鏡安全CMO Sunny出席了本次技術沙龍。安全419創(chuàng)始人兼CEO張毅作為本次技術沙龍?zhí)匮�主持人�?/P>

領導致辭-中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟副秘書長許玉娜

許玉娜在致辭中指出，黨的二十大報告中強調(diào)要堅決維護國家安全和社會穩(wěn)定。網(wǎng)絡安全作為網(wǎng)絡強國、數(shù)字中國的底座，將在未來的發(fā)展中承擔托底的重擔，是我國現(xiàn)代化產(chǎn)業(yè)體系中不可或缺的部分。近年來，數(shù)字供應鏈安全風險已成為企業(yè)數(shù)字化轉(zhuǎn)型過程中面臨的重大網(wǎng)絡安全問題之一，加快落地數(shù)字供應鏈安全治理工作迫在眉睫。企業(yè)亟需從各個層面建立數(shù)字供應鏈安全風險的發(fā)現(xiàn)能力、分析能力、處置能力、防護能力，整體提升數(shù)字供應鏈安全管理的水平。

中泰證券科技研發(fā)部總監(jiān)陳樹冰：云原生DevSecOps的建設探索與實踐

陳樹冰表示，未來數(shù)字化應用在云原生環(huán)境下研發(fā)及運行，在DevOps平臺和體系基礎上，云原生環(huán)境下的數(shù)字供應鏈安全體系運營流程需要實現(xiàn)端到端且高效地運轉(zhuǎn)，因此，DevSecOps體系建設尤為重要。中泰證券基于《研發(fā)運營一體化（DevOps）能力成熟度模型》，以DevOps流程為中心，將包括懸鏡安全在內(nèi)的廠商提供的安全能力融入各關鍵階段，覆蓋云原生下研發(fā)、交付、運營全過程，為企業(yè)的數(shù)字供應鏈提供安全防護閉環(huán)。得益于DevSecOps的實踐落地，中泰證券完善了安全管理規(guī)范，通過安全左移，大幅提升應用交付效率的同時降低了線上運營壓力。

懸鏡安全CTO寧戈：數(shù)字供應鏈安全下的代碼疫苗技術治理與實踐

寧戈分享了懸鏡原創(chuàng)專利級代碼疫苗技術的架構(gòu)原理、能力象限以及其在數(shù)字應鏈安全管理體系中的關鍵作用。他表示，代碼疫苗技術統(tǒng)一融合了IAST、SCA、RASP、DRA、API、APM等能力，只需一個探針就能解決數(shù)字化應用長期面臨的安全漏洞、數(shù)據(jù)泄漏、運行異常、0Day攻擊等風險，減輕多探針運維壓力的同時，為應用植入“代碼疫苗”，實現(xiàn)應用與安全共生。

在整個數(shù)字供應鏈安全管理體系中，代碼疫苗技術及相關的敏捷安全工具既能確保數(shù)字化應用生產(chǎn)過程安全透明，幫助形成完善的研發(fā)運營體系，防止應用帶“病”上線的同時生成可信的軟件物料清單（SBOM）；又能對于存量的上線應用資產(chǎn)進行梳理，并提供持續(xù)動態(tài)風險免疫能力，確保建立快速的應急響應能力；此外還能對外部采購、外包交付的應用進行數(shù)字供應鏈安全審查。

中國移動高級業(yè)務安全專家鄭國忠：軟件供應鏈安全，從威脅到解決方案

鄭國忠表示，開源技術蓬勃發(fā)展，已成為企業(yè)數(shù)字化轉(zhuǎn)型的核動力，但也給企業(yè)帶來了軟件供應鏈安全威脅。軟件供應鏈安全風險存在于供應鏈的各個環(huán)節(jié)，單點的防御檢測已經(jīng)無法滿足企業(yè)安全防御的需求。中國移動智慧家庭運營中心依據(jù)軟件供應鏈的特點，借鑒行業(yè)解決思路，采用四化合一的架構(gòu)，從組織保障、流程建設、場景識別、能力固化四個方面，依托自身的SDL安全研發(fā)能力，通過源頭治理、過程治理和線上運營治理三階段的安全管控，構(gòu)建起供應鏈軟件全生命周期的安全治理體系，實現(xiàn)軟件供應鏈安全主動防范、縱深防御、精準防護、整體防護的能力。

字節(jié)跳動云安全產(chǎn)品解決方案架構(gòu)師陳飛：云原生安全思考與實踐

字節(jié)跳動云安全產(chǎn)品解決方案架構(gòu)師陳飛在分享中指出，隨著云原生技術大規(guī)模應用，云原生安全保護成為企業(yè)在數(shù)字化轉(zhuǎn)型過程中關注的熱點之一。字節(jié)跳動在云原生安全領域深入探索實踐，打造云原生安全能力矩陣，基于典型CI/CD流程，嵌入豐富的安全能力，實現(xiàn)完善的安全保護機制，同時參考融合業(yè)界典型的CNAPP模型，形成更進一步的云原生安全體系化建設思路。在具體落地實踐層面，字節(jié)跳動會關注“全流程端到端漏洞風險治理、網(wǎng)絡訪問風險可觀測可控制、基于云原生行為的檢測響應處溯源、面向云原生多云多態(tài)管理”多個要點，切實保障在云原生場景下各業(yè)務應用的持續(xù)運營。

平安壹錢包DevSecOps運營負責人汪永輝：數(shù)據(jù)驅(qū)動敏捷安全落地

汪永輝以數(shù)據(jù)的形式分享了他在DevSecOps落地方面的思考和感悟。首先他通過展示包括Log4j、fastjson在內(nèi)一連串開源組件的漏洞修復率和修復速率，體現(xiàn)了DevSecOps在數(shù)字供應鏈安全管理方面的關鍵成效。緊接著，他指出各項敏捷安全能力建設需要考量企業(yè)安全現(xiàn)狀，以平安壹錢包為例，會通過內(nèi)部調(diào)研分析，將各項安全能力的優(yōu)先級量化，從而規(guī)劃安全建設的重點。最后他也坦言，做好企業(yè)的安全工作既要自身不懈堅持也要與懸鏡安全這類技術驅(qū)動、產(chǎn)品服務落地的廠商積極合作，實現(xiàn)“1+1=2”。

數(shù)字轉(zhuǎn)型安全話題“你問我答”

演講嘉賓的精彩分享激發(fā)了現(xiàn)場的熱烈討論，在技術沙龍的互動交流環(huán)節(jié)，來自《網(wǎng)絡安全和信息化》、GoUpSec、《信息安全與通信保密》的與會嘉賓提出了大家重點關注的話題。

《網(wǎng)絡安全和信息化》：企業(yè)DevSecOps建設有什么方法論？

汪永輝：DevSecOps建設是個跨領域的工作，不僅需要與領導持續(xù)交流溝通，而且需要在企業(yè)內(nèi)部推動開發(fā)、運維、安全等相關部門的協(xié)作。要真正實現(xiàn)DevSecOps任重而道遠，無捷徑可言，需要人來堅持不懈地推動。

GoUpSec：安全廠商在提供DevSecOps產(chǎn)品和服務時，如何滿足用戶的差異化需求？

寧戈：以懸鏡為例，主要通過打造標準化、模塊化、靈活化的安全產(chǎn)品及服務，來滿足用戶的不同需求。

《信息安全與通信保密》：云原生安全實踐包含哪些重點工作？

陳飛：字節(jié)跳動基于內(nèi)部實踐經(jīng)驗認為，好的工具、平臺和流程保障以及安全、開發(fā)、運維人員的緊密合作，能有效推動云原生安全體系的落地。

雄關漫道真如鐵，而今邁步從頭越。本次活動，與會嘉賓不僅收獲了數(shù)字供應鏈安全建設落地實踐的真知灼見，也深刻認知到數(shù)字化供應鏈安全實踐的應用原理與關鍵技術。懸鏡安全AI智能引領數(shù)字供應鏈安全，向未來，更進一步，正如詩人王之渙所說：“登高壯觀天地間，大江茫茫去不還。”我們在數(shù)字時代的道路上行進，需要不斷地攀登高峰，才能瞭望更廣闊的天地，創(chuàng)造更美好的未來。懸鏡安全會持續(xù)發(fā)揮其引領數(shù)字供應鏈安全的領導作用，為網(wǎng)絡強國、數(shù)字中國的建設發(fā)展提供強有力的安全保障，持續(xù)守護中國數(shù)字供應鏈安全。