记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

CIS2021 DevSecOps应用与技术专场圆满落幕,网安大咖共话安全

2022-03-10 18:39

数字化浪潮正席卷而来,软件开发流程左移愈发明显,DevSecOps的出现很好地弥补了开发和安全之间的缺失,是未来重要的发展方向,广受业界人士的关注,如何真正在企业中落地DevSecOps也成为企业需要思考的问题。

2022年3月10日上午,CIS2021 DevSecOps应用与技术专场(以下简称“DevSecOps专场”)在FreeBuf官网全程直播,与万千网友共享,一同欣赏精彩的议题。

本次DevSecOps专场由FreeBuf主办,悬镜安全创始人&CEO子芽为出品人,数世咨询创始人&总经理李少鹏担任本次专场的主持人,中国信息通信研究院云大所治理与审计部主任杨玲玲为大会致辞,悬镜安全创始人&CEO子芽,中国电信上海研究院安全专家游耀东,悬镜安全COO董毅,腾讯云产品安全负责人、云鼎实验室安全总监张祖优,美团高级信息安全工程师李中文分享主题演讲。

本次专场还举行了《2022 DevSecOps行业洞察报告》发布仪式,并引入圆桌论坛,多位安全大咖同台讨论,和行业观众实时分享互动,共话DevSecOps安全。

新一代软件疫苗技术进化之路

悬镜安全创始人&CEO子芽

随着数字化时代的加速到来,软件开发模式由传统的瀑布式、敏捷式转向DevSecOps,大大加速了软件开发、交付的速率。但是,DevSecOps软件供应链存在“看不清、查不到、防不住”的安全痛点,针对软件供应链的安全攻击事件也层出不穷,社会影响越来越大。

悬镜安全创始人&CEO子芽

悬镜安全创始人&CEO子芽提出“软件疫苗技术”概念,指的是软件运行时风险自发现及威胁自免疫,就如同人体免疫细胞一样,这和传统外挂式安全有着本质的区别。软件疫苗技术核心有两个方面:一是IAST技术,二是RASP技术,并将持续进行演进,实现运行时敏感数据追踪。当然,任何一项新兴技术出现,都有时代的背景和其适用的场景,没有绝对好坏之分。

悬镜第三代DevSecOps智适应威胁管理体系正是以软件疫苗技术基础,包含敏捷安全流程平台+关键技术工具链+组件化供应链安全服务三大组件,最终目标是帮助企业组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付,向着安全可信应用的方向发展。

最后,子芽和观众们分享了DevSecOps敏捷安全技术未来的发展趋势,他表示在现有的基础上,未来DevSecOps还应具备业务透视及数据协同分析能力;并更关注CI/CD管道、容器、API等应用基础设施安全及人为因素引入带来的异常风险的发现和积极预防等。

基于开源治理的PaaS组件安全体系建设

中国电信上海研究院安全专家游耀东

开源技术的广泛应用大大加速了开发的进程,但同时也给企业带来了更多的漏洞风险。那么,企业该如何确保开源软件的安全,软件安全质量如何有效检测,庞大的开发团队如何有效管理,以及出现开源问题后如何快速响应?

中国电信上海研究院安全专家游耀东

针对以上这些问题,中国电信上海研究院安全专家游耀东分享了中国电信天翼云pass平台安全治理的经验和分析。总的来说,中国电信天翼云PaaS平台对接总部、31省公司、专业公司机房,资源池,服务器,有效支撑内部IT上云赋能。

针对PaaS组件清单,建立了中国电信PaaS运营体系,并逐步形成全网统一,并制定了PaaS运营四大主流程,建立全网三线运维体系,员工、运维、开发人员负责各自的支撑工作。

PaaS安全工具能力建设主要有三个方面,一是基线扫描工具;二是日志采集,可监控PaaS平台组件的使用情况;三是安全检测能力具,确保开发时可形成开源清单,快速找到问题所在。

游耀东表示,企业要做好开源安全治理则必须要重视开源情报,充分利用SCA安全检测技术,统一安全检测标准,做好开源软件源头管控,从源头,开发到运维形成闭环管理,再加上利用SCA掌握开源软件资产视图(SBOM)和PaaS平台实现自动化检测修复,最大化控制开源技术的漏洞和问题。

《2022DevSecOps行业洞察报告》解读

悬镜安全COO董毅

《2022DevSecOps行业洞察报告》由悬镜安全&Freebuf咨询联合完成、发布,分为上下两篇,分别是上篇-调查篇,下篇-洞见篇。在CIS2021 • DevSecOps应用与技术专场,悬镜安全COO董毅对报告进行了解读。

悬镜安全COO董毅

董毅表示,本次报告在以往DevSecOps行业洞察报告的基础上做了非常多的优化,比如问卷调查的部分问题由单选题变成多选题,调研内容更加真实。同时,本次报告还充分结合2021年DevSecOps行业发展的现状,整体内容有明显的迭代。

在调查篇,本次报告共收集问卷1720份,有效问卷1639份,对不同岗位、不同背景的专业人员(包括开发、测试和运维等)进行了细致的调研,并借助生态合作企业、伙伴的影响力,触达了以往没有了解过的领域的专业人士,使得报告更具权威性。从调研问题的回答来看,DevSecOps正逐渐被应用开发团队认可并加速实践,部分领先机构的应用安全工作在软件开发生命周期的早期就已经实现高度自动化。

在上篇的基础上,洞见篇提出了DevSecOps敏捷安全工具金字塔v2.0和DevSecOps能力成熟度模型,梳理了年度热点技术,年度热点事件和DevSecOps实践应用案例,并对WiDevSecOps实践趋势进行展望。

值得一提的是,DevSecOps敏捷安全工具金字塔v2.0不仅将容器安全挪至第一层,还加入了AS(入侵与攻击模拟),而此前在第一层的EDR则进入传统建设层;第二层则新加入了AVC/VPT,进一步强化安全漏洞、弱点的关联效应,辅助安全测试落地。

腾讯云DevSecOps与开源治理探索

腾讯云产品安全负责人、云鼎实验室安全总监张祖优

安全是软件的生命线,随着开源技术的引入和快速开发、迭代的进行,软件开发面临着巨大的安全风险,基础研发与运维体系多样化,无法统一进行安全管控和动作落地,而在上云的大趋势下,老的问题依旧存在,新的问题层出不穷等。

腾讯云产品安全负责人、云鼎实验室安全总监张祖优

在这样的情况下,DevSecOps落地势在必行,将安全工作前置,柔性嵌入开发流程之中,故而安全治理角色不在局限于安全人员,可在研发早期发现安全漏洞,降低软件漏洞的修复成本。

张祖优表示,在推行DevSecOps模式时,企业需要注意与自身业务相适配,这点尤为重要。DevSecOps的发展过程中,一直是不断演变且逐渐成熟,但不同阶段的理论成熟度与实践存在较大的差异,需要深入理解及建立自己的模型。

随后,张祖优分享了腾讯云DevSecOps模型。DevSecOps三个关键点分别是流程、技术、人和文化,企业应持续进行安全意识培训,鼓励团队自治,每个人为参与到安全,为安全负责,达成共识和认知。

DevSecOps落地关键点分别是自动化测试、关键点、基于CI/CD的安全嵌入和工具链建设。目前腾讯云已经实现多平台适配与覆盖,统一标准化数据上报,统一度量与推动。

美团软件成分安全分析(SCA)能力的建设与演进

美团高级信息安全工程师李中文

随着开源技术的大量使用,给企业带来来诸多新的问题,包括组件漏洞风险、供应链攻击风险以及过维护期的组件隐藏风险等,并给业务带来了直观的影响。

美团高级信息安全工程师李中文

对此,美团高级信息安全工程师李中文表示,软件成分安全分析(SCA)可有效解决资产透视、开源组件风险发现、开源组件的依赖分析、风险修复及运营、风险透视等问题,

活动中,李中文分享了美团SCA能力的建设与演进的整体路线图,详细介绍了美团是如何一步步建设SCA,以及SCA资产数据、漏洞数据及运营能力建设的具体内容。更重要的是,现场还分享了美团SCA能力建设过程中遇到的各种问题,包括缺乏漏洞与资产联动的配套设施,各种编译数据的来源问题和异构问题等,以及美团SCA建设的实践经验,期望能够现场观众带来启发。

最后,李中文表示,未来SCA能力建设将更加侧重资产数据、风险数据和安全基线三个方面,并建立反向数据对账机制保证资产数据的完整性,建立数据链路检查机制保障数据链路可靠性,前置风险信息获取,提高风险信息获取质量。

圆桌论坛

随着大咖们主题演讲的结束,本次专场进入了压轴环节-圆桌论坛。数世咨询创始人&总经理李少鹏为圆桌主持人,悬镜安全创始人&CEO子芽,CODING创始人&CEO张海龙,小佑科技创始人&CEO袁曙光,平安壹钱包安全运营组长汪永辉出席圆桌,共同探讨DevSecOps的适用场景与实践经验,涉及理论、技术、政策、事件等多个方面。

在圆桌论坛中,五位大咖就主持人提出的问题分享了自己的观点和经验,不同角度、不同思维在这一刻碰撞出精彩的火花,直接将现场气氛推向了最高潮。

数世咨询创始人&总经理李少鹏

最后,李少鹏总结了本次圆桌有三大价值点。

第一,开源是不可逆之大势,不论是封闭系统的更新、演化还是大量业务的实际需求,都对开源无比渴望。

第二,DevSecOps是一个大概念,解决的不仅仅是开发安全问题,即可左移到代码,又可给到安全运维,是一个庞大的安全体系。

第三,如何解决安全左移和右移的落地点,目前已经有了最佳的落地实践,争取在明年的CIS大会上我们再来验证一下。

结语

近段时间,疫情防控形势不断变化,为了让更多的观众参与进来,「CIS 2021网络安全创新大会Spring·春日版」搬到了线上。此次CIS 2021大会春日版延续以往数届CIS大会的安全、创新、趣味等特点,从布展、议题设置到直播设置,力求呈现创新性的安全论坛和趣味性的安全氛围。

从结果来看,线上直播的形式并未降低观众参与的热情,首日全网直播总点击量近百万,两日总访问量近两百万,通过FreeBuf账号登录观看的用户数十万人。观众参与热情高涨,纷纷为心仪的大咖刷“麦穗值”打榜,送出大量实物奖品iPhone、周边等,更有多轮整点红包雨活动,给大家带来一场网安盛宴。

除此之外,「CIS首席信息安全官闭门高峰论坛」、「实网对抗与攻防演练专场」及「零信任安全论坛」三场分论坛将坚守线下,预计在4月至6月在深圳、上海与北京三地进行,力求连接更多因不可抗力未能亲临主论坛的观众朋友。愿新老朋友们在各地和FreeBuf共襄此次行业盛会。


知识来源: https://www.freebuf.com/articles/324398.html

阅读:49901 | 评论:0 | 标签:安全 DevSecOps 网安

想收藏或者和大家分享这篇好文章→复制链接地址

“CIS2021 DevSecOps应用与技术专场圆满落幕,网安大咖共话安全”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁