来源: 时间:2021-08-04 14:23
安全从供应链开始
DevSecOps保障企业软件全生命周期安全
中国电力新闻网记者 邓恢平
7月21日,由中国信息通信研究院(简称“中国信通院”)指导、悬镜安全主办的中国首届DevSecOps敏捷安全大会召开,超过300位网络安全专家齐聚北京,共同探讨软件供应链安全中涉及的管理、流程、技术、工具等问题,为安全产业发展提供创新动力。
从源头处提升安全能力
供应链是企业开展生产经营活动的基础,对于设备企业来说,如果供应链质量把控不过关,则可能导致企业的产品出现质量问题。同理,如果企业对软件供应链的安全把控不到位,黑客便能通过供应链的漏洞对企业开展网络攻击,窃取企业数据,造成企业受损。因此,随着各行业企业对软件的依赖日益提升,如何保障供应链安全将成为企业从源头做好风险治理的关键。
中国信通院云大所副所长栗蔚在大会上表示,安全左移,从软件需求设计早期便考虑安全,从源头处提升安全能力,已被证明可以有效地、低成本地解决大量现存的安全问题,全面提升应用服务的整体安全能力,助推数字经济的整体发展。
在此背景之下,DevSecOps迎来快速发展机遇。据了解,DevSecOps是将安全嵌入DevOps流程而形成的,符合当前敏捷开发需求趋势,使得安全可以“左移”和“右移”。即DevSecOps渗透至研发到运营整个软件生命周期,帮助企业在软件开发阶段就可以检测和修复漏洞,降低成本和风险,是网络安全重要的新兴发展方向。
悬镜安全创始人兼CEO子芽介绍,DevSecOps核心愿景是构建一个信任和弹性的研运一体化环境,使得组织能够敏捷地、安全地、充分地参与到软件供应链建设和保障中去。DevSecOps不仅关注应用本身风险,还关注CI/CD管道、容器、API等应用基础设施安全及人为因素引入带来的异常风险。
“经过多年的发展,DevSecOps贯穿全流程的研发运营安全理念已经深入人心,得到了广泛的认可。”栗蔚表示。
《软件供应链安全白皮书》发布
为提高相关企业对软件供应链的认识水平,促进我国软件供应链安全水平不断提升,本届大会上正式发布了由中国信通院与悬镜安全联合编撰的《软件供应链安全白皮书(2021)》(简称《白皮书》)。《白皮书》系统阐述了软件供应链安全概述、国内外软件供应链安全发展现状、软件供应链的安全挑战等问题,是深入了解软件供应链安全的重要资料。
悬镜安全首席运营官董毅对《白皮书》进行解读,他以悬镜安全社群调研数据为例,展示了当前组织中安全人员修复已知漏洞所耗费的时间成本,重点强调了在缺陷管理中SBOM(软件物料清单)的重要性,以及《白皮书》中首次公开的软件供应商评估模型与管理流程。
此外,中国信通院云大所云计算部副主任郭雪在大会上首次公开《交互式应用程序安全测试工具能力要求》(IAST)标准。郭雪介绍,中国信通院制定IAST标准的原因在于业内对研发安全的认知尚处于初级阶段。而在设计和研发阶段关注安全问题,使安全左移,能有效节约成本高达上百倍。IAST在整个安全工具的标准中处于重要位置,相较于较早的SAST及DAST工具有明显优势。
“希望以本届大会为契机和起点,我们能携手行业创新力量,持续共建一个普惠的DevSecOps生态。”子芽表示。
责任编辑:刘卓 投稿邮箱:网上投稿
地址:北京市丰台区南四环西路188号7区18号楼
邮编: 100070
Copyright©2011- All Rights Reserved.
中电传媒股份有限公司 中国电力新闻网 版权所有 未经授权 严禁转载