2021年7月21日，中國首屆DevSecOps敏捷安全大會（DSO 2021）在北京成功舉辦，大會以“安全從供應(yīng)鏈開始”為主題，寓意安全基礎(chǔ)決定上層建筑，在云原生環(huán)境下為軟件供應(yīng)鏈注入覆蓋全流程的安全屬性，從源頭做風(fēng)險(xiǎn)治理。DSO 2021由中國信息通信研究院指導(dǎo)，DevSecOps敏捷安全領(lǐng)導(dǎo)者懸鏡安全主辦，騰訊安全協(xié)辦，現(xiàn)場逾300位權(quán)威學(xué)者、安全專家、生態(tài)伙伴、技術(shù)精英齊聚一堂，近20個議題，直擊軟件供應(yīng)鏈安全復(fù)雜場景中涉及的管理、流程、技術(shù)、工具等問題，為安全產(chǎn)業(yè)發(fā)展提供創(chuàng)新源動力。

[[413190]]

圖：中國信通院云大所副所長栗蔚女士發(fā)表歡迎致辭

中國信通院云大所副所長栗蔚女士蒞臨首屆DevSecOps敏捷安全大會并發(fā)表歡迎致辭，她表示：“經(jīng)過多年的發(fā)展，DevSecOps貫穿全流程的研發(fā)運(yùn)營安全理念已經(jīng)深入人心，得到了廣泛的認(rèn)可。安全左移，從軟件需求設(shè)計(jì)早期便考慮安全，從源頭處提升安全能力，已被證明可以有效地、低成本地解決大量現(xiàn)存的安全問題，全面提升應(yīng)用服務(wù)的整體安全能力，助推數(shù)字經(jīng)濟(jì)的整體發(fā)展。DevSecOps敏捷安全大會的舉辦，為聚集行業(yè)智慧、為創(chuàng)新思維交流提供了非常好的平臺。” 栗蔚女士在致辭當(dāng)中對DevSecOps發(fā)展趨勢予以充分的數(shù)據(jù)說明，側(cè)重分享了DevSecOps研發(fā)運(yùn)營發(fā)展當(dāng)前所呈現(xiàn)的特點(diǎn)，重點(diǎn)強(qiáng)調(diào)DevSecOps產(chǎn)業(yè)市場的發(fā)展?jié)摿薮蟆?o:p>

圖：中國工程院院士沈昌祥先生發(fā)表主題演講

中國工程院院士沈昌祥先生也做客DSO 2021大會現(xiàn)場，并從國家政策和網(wǎng)絡(luò)環(huán)境的宏觀角度，與現(xiàn)場觀眾分享了如何打造安全可信軟件產(chǎn)業(yè)新生態(tài)的探索。在沈院士的演講中，詳細(xì)介紹了主動免疫可信計(jì)算“安全可信體系框架”的六大要素，強(qiáng)調(diào)安全可信計(jì)算實(shí)施運(yùn)算同時進(jìn)行免疫的安全防護(hù)，使存在的缺陷不被攻擊者利用，來達(dá)到預(yù)期的計(jì)算目標(biāo)。按國家網(wǎng)絡(luò)安全法律、戰(zhàn)略及等保制度構(gòu)建主動免疫防護(hù)的新體系，用中國自主創(chuàng)新安全可信體系解決受制于人的問題。

圖：懸鏡安全創(chuàng)始人兼CEO子芽先生發(fā)表歡迎致辭并做技術(shù)分享

DSO 2021主辦方懸鏡安全創(chuàng)始人兼CEO子芽先生向現(xiàn)場與會者做歡迎致辭，并表示：“對于大會的創(chuàng)立初心，我們希望在敏捷安全的實(shí)踐過程中，搭建一個匯集行業(yè)用戶、產(chǎn)業(yè)智庫、安全媒體及技術(shù)廠商的DevSecOps生態(tài)交流平臺，能夠讓大家齊鳴、共舞。”在技術(shù)分享的重點(diǎn)環(huán)節(jié)，他也就DevSecOps敏捷安全技術(shù)的未來技術(shù)演進(jìn)趨勢做了深度分享，并明確提出，上線前異常行為代碼的檢測、基于威脅的安全測試及RASP自適應(yīng)威脅免疫技術(shù)，會成為接下來業(yè)界在現(xiàn)代應(yīng)用風(fēng)險(xiǎn)治理方面的一個新方向。

圖：《軟件供應(yīng)鏈安全白皮書（2021）》發(fā)布

作為本次大會的重磅環(huán)節(jié)，由中國信通院與懸鏡安全聯(lián)合編撰的《軟件供應(yīng)鏈安全白皮書（2021）》于會議現(xiàn)場發(fā)布，中國信通院云大所副所長栗蔚女士與懸鏡安全創(chuàng)始人兼CEO子芽先生共同啟動白皮書發(fā)布儀式。

圖：懸鏡安全首席運(yùn)營官董毅先生對《軟件供應(yīng)鏈安全白皮書（2021）》進(jìn)行解讀

懸鏡安全首席運(yùn)營官董毅先生對白皮書進(jìn)行解讀，著重闡述了軟件供應(yīng)鏈的定義、生態(tài)，以及目前存在的主要攻擊類型。董毅先生以懸鏡安全社群調(diào)研數(shù)據(jù)為例，展示了當(dāng)前組織中安全人員修復(fù)已知漏洞所耗費(fèi)的時間成本，重點(diǎn)強(qiáng)調(diào)了在缺陷管理中SBOM（軟件物料清單）的重要性，以及在白皮書中首次公開的軟件供應(yīng)商評估模型與管理流程。

圖：中國信通院云大所云計(jì)算部副主任郭雪女士解讀IAST標(biāo)準(zhǔn)

作為DSO 2021大會出品人之一，中國信通院云大所云計(jì)算部副主任郭雪女士于現(xiàn)場進(jìn)行了首次公開的《交互式應(yīng)用程序安全測試工具能力要求》（IAST）標(biāo)準(zhǔn)解讀。她表示，信通院之所以會制定IAST的標(biāo)準(zhǔn)，原因在于業(yè)內(nèi)對研發(fā)安全的認(rèn)知尚處于初級階段，而通過數(shù)據(jù)顯示，在設(shè)計(jì)和研發(fā)階段關(guān)注安全問題，使安全左移，能有效節(jié)約成本高達(dá)上百倍。IAST在整個安全工具的標(biāo)準(zhǔn)中處于重要位置，相較于較早的SAST及DAST工具有明顯優(yōu)勢。郭雪女士于會上對所制定IAST工具能力的具體要求進(jìn)行了詳細(xì)的深度解讀。

圖：圓桌論壇，嘉賓從左至右依次為：

主持人——北京賽博英杰科技有限公司創(chuàng)始人、正奇學(xué)院創(chuàng)辦人、業(yè)內(nèi)資深安全專家譚曉生先生；

嘉賓——騰訊科技安全產(chǎn)品規(guī)劃總監(jiān)程文杰先生；華為技術(shù)有限公司華為云安全工程專家孫志敏先生；青藤云安全技術(shù)副總裁張嵩先生；懸鏡安全首席技術(shù)官寧戈先生

在圓桌討論環(huán)節(jié)，主持人與四位安全領(lǐng)域?qū)＜夜餐瑖@“快時代下的軟件供應(yīng)鏈安全”主題進(jìn)行觀點(diǎn)分享。主持人北京賽博英杰科技有限公司創(chuàng)始人、正奇學(xué)院創(chuàng)辦人，業(yè)內(nèi)資深安全專家譚曉生先生，與騰訊科技安全產(chǎn)品規(guī)劃總監(jiān)程文杰先生、華為技術(shù)有限公司華為云安全工程專家孫志敏先生、青藤云安全技術(shù)副總裁張嵩先生，以及懸鏡安全首席技術(shù)官寧戈先生四位嘉賓，就當(dāng)前軟件快速迭代與數(shù)字化轉(zhuǎn)型大背景下的供應(yīng)鏈安全，共同探討了各位嘉賓所在企業(yè)的安全風(fēng)險(xiǎn)治理最佳實(shí)踐經(jīng)驗(yàn)、組織內(nèi)安全意識培訓(xùn)與安全項(xiàng)目推動方式、云原生環(huán)境下的軟件供應(yīng)鏈安全保障工作變化、容器與傳統(tǒng)虛機(jī)相比安全能力要求的不同等問題。

除上述議題外，中國電信研究院資深安全專家游耀東先生、青藤云安全聯(lián)合創(chuàng)始人兼產(chǎn)品副總裁胡俊先生、匯豐科技中國證券服務(wù)科技部DevSecOps負(fù)責(zé)人周紀(jì)海先生、騰訊科恩實(shí)驗(yàn)室高級安全研發(fā)工程師張文凱先生、平安壹錢包DevSecOps負(fù)責(zé)人汪永輝先生、華泰證券應(yīng)用與業(yè)務(wù)安全團(tuán)隊(duì)負(fù)責(zé)人莊飛先生、騰訊安全平臺部高級安全研究員范傳輝先生、北京中測安華科技有限公司安全運(yùn)營部總監(jiān)姚原崗博士，及騰訊云CODING高級產(chǎn)品經(jīng)理俞典女士，分別在本屆大會上就DevSecOps和軟件供應(yīng)鏈安全的體系建設(shè)與實(shí)踐經(jīng)驗(yàn)做了精彩分享，合力為相關(guān)安全從業(yè)者打造了一場以敏捷安全為主題的技術(shù)盛宴。

為期一天的首屆DevSecOps敏捷安全大會圓滿落幕，作為大會出品人，懸鏡安全創(chuàng)始人兼CEO子芽先生為本屆大會送上寄語：“上善若水，水利萬物而不爭。希望從DSO 2021起，我們能攜手行業(yè)創(chuàng)新力量，持續(xù)共建一個普惠的DevSecOps生態(tài)。”