CCIA技术沙龙｜“数字供应链安全治理与实践”沙龙成功举办

      2023年4月14日，由中国网络安全产业联盟（CCIA）主办，悬镜安全承办的“数字供应链安全治理与实践”技术沙龙在京圆满举办。

云原生时代，应用开源化、开发敏捷化、架构微服务化、基础设施容器化，使得数字供应链安全风险日趋严峻。随着企业数字化转型步入深水区，数字化应用已逐渐渗透到业务发展、技术研发、企业管理等各个场景，贯穿于企业发展全生命周期。

本次技术沙龙以“线下沙龙 线上直播”形式同步进行，线下有来自金融、互联网、通信、网络安全等领域的七十余位安全技术大咖、行业意见领袖、资深媒体学者齐聚一堂，线上有7000 行业用户参与直播互动，线上线下技术联动，精彩纷呈，共同探讨如何应对新时代数字供应链面临的威胁与挑战，分享关键技术创新发展成果以及治理方案的实践落地。本次沙龙也是中国网络安全产业联盟“CCIA技术沙龙”系列活动之一。

中国网络安全产业联盟副秘书长许玉娜在致辞中指出，党的二十大报告中强调要坚决维护国家安全和社会稳定，网络安全作为网络强国、数字中国的底座，将在未来的发展中承担托底的重担，是我国现代化产业体系中不可或缺的部分。近年来，数字供应链安全风险已成为企业数字化转型过程中面临的重大网络安全问题之一，加快落地数字供应链安全治理工作迫在眉睫。企业亟需从各个层面建立数字供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体提升数字供应链安全管理的水平。

中泰证券

《云原生DevSecOps的建设探索与实践》

中泰证券科技研发部总监陈树冰表示，未来数字化应用在云原生环境下研发及运行，在DevOps平台和体系基础上，云原生环境下的数字供应链安全体系运营流程需要实现端到端且高效地运转，因此，DevSecOps体系建设尤为重要。中泰证券基于《研发运营一体化（DevOps）能力成熟度模型》，以DevOps流程为中心，将包括悬镜安全在内的厂商提供的安全能力融入各关键阶段，覆盖云原生下研发、交付、运营全过程，为企业的数字供应链提供安全防护闭环。得益于DevSecOps的实践落地，中泰证券完善了安全管理规范，通过安全左移，大幅提升应用交付效率的同时降低了线上运营压力。

悬镜安全

《数字供应链安全下的代码疫苗技术治理与实践》

悬镜安全CTO宁戈分享了悬镜原创专利级代码疫苗技术的架构原理、能力象限以及其在数字应链安全管理体系中的关键作用。他表示，代码疫苗技术统一融合了IAST、SCA、RASP、DRA、API、APM等能力，只需一个探针就能解决数字化应用长期面临的安全漏洞、数据泄漏、运行异常、0Day攻击等风险，减轻多探针运维压力的同时，为应用植入“代码疫苗”，实现应用与安全共生。

在整个数字供应链安全管理体系中，代码疫苗技术及相关的敏捷安全工具既能确保数字化应用生产过程安全透明，帮助形成完善的研发运营体系，防止应用带“病”上线的同时生成可信的软件物料清单（SBOM）；又能对于存量的上线应用资产进行梳理，并提供持续动态风险免疫能力，确保建立快速的应急响应能力；此外还能对外部采购、外包交付的应用进行数字供应链安全审查。

中国移动智慧家庭运营中心

《软件供应链安全，从威胁到解决方案》

中国移动高级业务安全专家郑国忠表示，开源技术蓬勃发展，已成为企业数字化转型的核动力，但也给企业带来了软件供应链安全威胁。软件供应链安全风险存在于供应链的各个环节，单点的防御检测已经无法满足企业安全防御的需求。中国移动智慧家庭运营中心依据软件供应链的特点，借鉴行业解决思路，采用四化合一的架构，从组织保障、流程建设、场景识别、能力固化四个方面，依托自身的SDL安全研发能力，通过源头治理、过程治理和线上运营治理三阶段的安全管控，构建起供应链软件全生命周期的安全治理体系，实现软件供应链安全主动防范、纵深防御、精准防护、整体防护的能力。

字节跳动

《云原生安全思考与实践》

字节跳动云安全产品解决方案架构师陈飞在分享中指出，随着云原生技术大规模应用，云原生安全保护成为企业在数字化转型过程中关注的热点之一。字节跳动在云原生安全领域深入探索实践，打造云原生安全能力矩阵，基于典型CI/CD流程，嵌入丰富的安全能力，实现完善的安全保护机制，同时参考融合业界典型的CNAPP模型，形成更进一步的云原生安全体系化建设思路。在具体落地实践层面，字节跳动会关注“全流程端到端漏洞风险治理、网络访问风险可观测可控制、基于云原生行为的检测响应处溯源、面向云原生多云多态管理”多个要点，切实保障在云原生场景下各业务应用的持续运营。

平安壹钱包

《数据驱动敏捷安全落地》

平安壹钱包DevSecOps运营负责人汪永辉以数据的形式分享了他在DevSecOps落地方面的思考和感悟。首先他通过展示包括Log4j、fastjson在内一连串开源组件的漏洞修复率和修复速率，体现了DevSecOps在数字供应链安全管理方面的关键成效。紧接着，他指出各项敏捷安全能力建设需要考量企业安全现状，以平安壹钱包为例，会通过内部调研分析，将各项安全能力的优先级量化，从而规划安全建设的重点。最后他也坦言，做好企业的安全工作既要自身不懈坚持也要与悬镜安全这类技术驱动、产品服务落地的厂商积极合作，实现“1 1=2”。

演讲嘉宾的精彩分享激发了现场的热烈讨论，在技术沙龙的互动交流环节，来自《网络安全和信息化》、GoUpSec、《信息安全与通信保密》的与会嘉宾提出了大家重点关注的话题。

《网络安全和信息化》：企业DevSecOps建设有什么方法论？

汪永辉：DevSecOps建设是个跨领域的工作，不仅需要与领导持续交流沟通，而且需要在企业内部推动开发、运维、安全等相关部门的协作。要真正实现DevSecOps任重而道远，无捷径可言，需要人来坚持不懈地推动。

宁戈：以悬镜为例，主要通过打造标准化、模块化、灵活化的安全产品及服务，来满足用户的不同需求。

陈飞：字节跳动基于内部实践经验认为，好的工具、平台和流程保障以及安全、开发、运维人员的紧密合作，能有效推动云原生安全体系的落地。

本次“数字供应链安全治理与实践”技术沙龙围绕DevSecOps数字供应链安全相关议题，汇集了数字供应链安全建设落地实践的真知灼见，分享了数字化供应链安全实践的应用原理与关键技术。中国网络安全产业联盟将一如既往地鼓励会员单位积极加强行业技术与实践交流，持续营造良好产业发展环境，推动网络安全产业做大做强，为筑牢数字经济安全底座、护航数字中国建设添砖加瓦。