護航 敏捷 開發和操作和維護BCS2020舉辦devsecops論壇

原始標題:護航 敏捷 開發和操作和維護BCS2020舉辦devsecops論壇

在“安全向左轉”的趨勢下，發展安全運營已經成為企業數字化轉型過程中應用安全的基本保障。8月12日，由中國信息與通信研究院主辦、祁安信集團“網絡安全一哥”協辦的“發展行動/kloc-4”如期舉行。許多行業領導和技術專家就敏捷 開發和運行維護中實施內源性安全進行了深入的交流和討論。論壇還對《中國DevOps調查報告》進行了深入解讀。

此次論壇匯聚了來自科研機構、中央企業、網絡安全等領域的一批重要嘉賓，包括中國信息通信研究院研究所所長何、中國信息通信研究院研究所云計算部副主任牛曉玲、中國人壽中心安全測試負責人陸象宇、農行中心安全部總工程師劉、 中國信息與通信研究院大云研究所云計算部研究員，紫亞，掛鏡安全首席執行官，JFrog中國解決方案架構師

何洪堡:發展公司將成為行業的一個重要發展方向

中國信息與通信研究院大云研究所所長何洪堡為會議作了主旨發言。他說，隨著軟件產業的快速發展，軟件迭代的速度正在加快，云計算等新技術日益成熟，云計算在企業中已經成為一種必然趨勢。DevSecOps正在逐漸取代傳統的開發模式。由于我國對網絡安全的重視，發展安全運營已經成為一個重要的發展方向。

洪堡表示，中國信息與通信研究院是聯合國互聯網通信行業的頂尖專家，他們共同編寫了《發展安全運營能力成熟度模型:安全與風險管理》的第六部分，規范了發展安全運營全鏈的安全風險控制，包括開發、交付和運營，并提供了有效的指導。

牛曉玲:開發安全操作是一種在持續交互中增加安全性的手段

中國信息通信研究院大云研究所云計算部副主任牛曉玲發表了題為《解讀發展戰略標準》的主旨演講。牛曉玲表示，DevSecOps將一些安全框架整合到整個軟件開發流程中，R&D、運營和測試安全部門應相互配合，實現部分數據的可用性和安全性，包括整個R&D流程的安全性。

后來，牛曉玲說，發展安全運營是企業安全文化的滲透，也是制度流程和工具的結合。這是一種將安全性和合規性納入軟件整個生命周期的方法，也是一種由學習和努力工作驅動的全公司戰略。

盧翔宇:在開發初期進行開源軟件安全治理具有很高的價值

中國人壽研發中心安全測試負責人盧翔宇發表了題為“在敏捷 開發中的開源安全治理”的主題演講。陸象宇說，開源軟件安全治理在DevSecOps的早期階段具有很大的價值，這主要體現在三個方面:一是對DevOps成熟度的依賴性低；其次，開源檢測虛警具有高效性和高效性，易于實現自動化；第三，開源漏洞具有很高的風險確定性；第四，開源軟件安全治理的投入產出比相對較高。

此外，陸象宇還介紹了實現開源治理的條件以及在實現開源治理的實踐中可能遇到的一些問題。盧翔宇表示，目前開源軟件的投資治理相對清晰，效果具體，整體整改風險非�？煽�。他還認為，更重要的是建立開源資產的安全管理，不僅可以快速提供各級所需的數據，還可以在此基礎上建立漏洞預警和應急機制。

孫勇:在網絡安全的框架下，銀行業的風險管理和控制開始由被動向主動轉變

隨著《網絡安全法》的正式頒布，金融系統的安全性成為業界關注的焦點。在本次論壇上，中國農業銀行研究發展中心安保部總工程師孫勇發表了題為“從被動到主動應用安全體系建設的實踐”的主題演講，重點是金融體系的安全體系建設。

孫勇表示，隨著國家對網絡安全要求的提高，信息安全和網絡安全在銀行業的發展也面臨著更大的責任和挑戰。面對這些挑戰，從被動到主動，運用自我保護已成為銀行保護的趨勢。與此同時，孫勇還提出了一些加強風險管理和控制的建議，包括:新技術研究需要生產、教育和研究，包括產業合作做相關安全產品的研發；教學人才的培養需要甲乙雙方的合作，包括學術學校和工業學校。

劉:超過40%的企業已經引入了DevOps

在本次論壇上，中國信息與通信研究院研究所云計算部研究員劉對《2020年中國DevOps現狀調查報告》做了詳細解讀。

中國信息與通信研究院云計算與大數據研究所將DevOps的成熟度劃分為五個層次，即初始層次、基礎層次、綜合層次、優秀層次和優秀層次。根據調查結果，DevOps的成熟度正逐步發展到綜合水平。與2019年的調查結果相比，2020年企業在綜合水平中所占的比例增加了近10%。

調查還顯示，超過40%的企業引入了DevOps，占41.29%。在安全團隊方面，超過40%的企業擁有不同成熟度的專業安全團隊，與去年相比有了顯著增長。

軟件供應鏈安全的威脅迫在眉睫

在論壇上，負責掛鏡安全的孫亞發表了題為“分享新一代灰盒安全檢測技術實踐”的主題演講。Subbud首先分享了關于軟件工程安全的兩個共識:第一，系統必須有未發現的安全漏洞；其次，應用程序現在是組裝的，而不是純粹的自然。Ziya表示，軟件供應鏈安全的威脅迫在眉睫。

齊亞說，掛鏡有自己的DevSecOps威脅管理系統，其核心來自四個維度:威脅建模、風險發現、威脅模擬和檢測響應。

劉永強:開源不等于安全

接下來，JFrog中國的解決方案架構師劉永強發表了題為“企業開發的開源治理方案的演變”的主題演講。劉永強說開源不等于安全。

那么，傳統公司如何檢測或管理漏洞呢？劉永強說，當企業應對開源治理的挑戰時，他們通常會有這樣一個想法:首先是統一入口；第二是需要識別組件依賴關系；三是尋找漏洞數據源；第四是需要在整個生命周期進行安全管理。劉永強強調，這個想法的原則之一是安全地向左移動，并盡可能地將安全引入到開發的一側。前三點是基本要點，必須在進行生命周期安全管理之前完成。

吳欣:易受攻擊的資產管理也包含在網絡安全框架中

論壇最后，祁安信網絡安全部產品安全負責人吳欣就“敏捷從漏洞角度看安全”發表了講話。吳欣介紹說，從漏洞的角度來看，敏捷安全、文化、流程和技術都非常重要，尤其是漏洞可以得到深刻的反映。

吳欣表示，SDL和德輔都致力于讓產品更安全。此外，吳欣還總結了漏洞修復實踐中遇到的問題，并分享了漏洞修復的管理原則和方法。

吳欣表示，第一點是通過建立系統、策略和在線漏洞操作系統來加強漏洞修復能力；第二點是漏洞分類，關注大漏洞并進行動態維護。第三點是通過自主開發的平臺掃描漏洞，一方面減少漏洞的數量，另一方面加強其漏洞發現能力。最后，吳欣總結說，應用程序安全能力和漏洞資產管理都包含在大框架中。

北京網絡安全會議由祁安信集團主辦。以“全球網絡安全傾聽北京聲音”的理念，聚焦數字化、網絡化、智能化時代背景，充分發揮北京科技資本和創新資本的資源優勢，聚焦當前和未來網絡安全。產業發展、國際合作、資本風險投資、前沿技術、新場景應用和人才培養，構建政府、生產、企業、資本、學習和使用的多方參與，會議持續10天，興奮持續！