懸鏡安全、OpenSCA創(chuàng)始人子芽10年沉淀首次公開

10位學(xué)術(shù)界和企業(yè)界權(quán)威安全專家聯(lián)袂推薦 

內(nèi)容簡(jiǎn)介：這是一本體系化講解DevSecOps敏捷安全的實(shí)戰(zhàn)性著作，為企業(yè)應(yīng)對(duì)軟件開發(fā)方式敏態(tài)化與軟件供應(yīng)鏈開源化帶來的安全挑戰(zhàn)提供了解決之道，它能有效指導(dǎo)企業(yè)快速將安全能力完整嵌入整個(gè)DevOps體系，在保證業(yè)務(wù)研發(fā)效能的同時(shí)實(shí)現(xiàn)敏捷安全內(nèi)生和自成長(zhǎng)。

7月26日下午，由懸鏡安全主辦、OpenSCA社區(qū)協(xié)辦的“又見DSO 2022，子芽《DevSecOps敏捷安全》新書發(fā)布會(huì)”在北大博雅國(guó)際酒店成功舉行。網(wǎng)絡(luò)安全圈的一眾博雅之士相聚一堂，以書為媒，與新書作者即懸鏡安全創(chuàng)始人兼CEO、OpenSCA社區(qū)創(chuàng)始人子芽共話行業(yè)新技術(shù)、新趨勢(shì)。

本次發(fā)布會(huì)由新書出版單位機(jī)械工業(yè)出版社資深主編楊福川老師親自主持。中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所開源和軟件安全部副主任郭雪、中興通訊開源合規(guī)與安全治理總監(jiān)項(xiàng)曙明、平安壹錢包安全DevSecOps運(yùn)營(yíng)負(fù)責(zé)人汪永輝作為嘉賓出席。中國(guó)信息安全、InfoQ、安全牛、網(wǎng)絡(luò)安全與數(shù)據(jù)治理、網(wǎng)絡(luò)安全和信息化、嘶吼新媒體、雷鋒網(wǎng)、淺黑科技、億歐網(wǎng)等二十余家主流媒體到場(chǎng)參加、踴躍提問并聚焦發(fā)布會(huì)內(nèi)容進(jìn)行了深度報(bào)道。 

 點(diǎn)擊觀看???又見DSO 2022”子芽《DevSecOps敏捷安全》新書發(fā)布會(huì)集錦??

十年沉淀，厚積薄發(fā)

子芽發(fā)表“DevSecOps敏捷安全體系淺談”主題演講

發(fā)布會(huì)伊始，北京大學(xué)計(jì)算機(jī)學(xué)院教授/網(wǎng)絡(luò)信息安全實(shí)驗(yàn)室主任陳鐘、正奇學(xué)苑及璟泰創(chuàng)投創(chuàng)始人譚曉生、中國(guó)電信研究院安全技術(shù)研究所所長(zhǎng)何國(guó)鋒、國(guó)網(wǎng)湖南電力網(wǎng)絡(luò)安全技術(shù)首席工程師田錚、CODING創(chuàng)始人&CEO張海龍、道客網(wǎng)絡(luò)首席安全官?gòu)堘?、看雪學(xué)苑創(chuàng)始人段鋼、開源中國(guó)&Gitee創(chuàng)始人兼CTO紅薯等諸多大咖通過視頻或蒞臨現(xiàn)場(chǎng)的方式再次推薦了新書《DevSecOps敏捷安全》并對(duì)本次活動(dòng)送上誠(chéng)摯祝福。

隨后，子芽在主題為“DevSecOps敏捷安全體系淺談”的演講中，全面梳理了云原生時(shí)代面臨的數(shù)字化安全風(fēng)險(xiǎn)與挑戰(zhàn)并重點(diǎn)講解了其新書的部分核心內(nèi)容。

子芽認(rèn)為，數(shù)字經(jīng)濟(jì)時(shí)代，軟件定義萬(wàn)物并已經(jīng)成為保障社會(huì)正常運(yùn)轉(zhuǎn)的基本組件，然而現(xiàn)代軟件飽受開源成分缺陷、Web通用漏洞、業(yè)務(wù)邏輯漏洞、異常行為代碼等潛在安全風(fēng)險(xiǎn)面的威脅。而且隨著新制品（開源主導(dǎo)）、新發(fā)布（DevOps研運(yùn)一體化）、新技術(shù)（微服務(wù)架構(gòu)）、新環(huán)境（容器化）的出現(xiàn)，企業(yè)組織競(jìng)相擁抱業(yè)務(wù)上云、組織上云的云原生時(shí)代，使得數(shù)字化應(yīng)用風(fēng)險(xiǎn)面、軟件供應(yīng)鏈安全范圍有了較大的外延。 

子芽主題演講現(xiàn)場(chǎng)

子芽指出，在新書《DevSecOps敏捷安全》中，由懸鏡安全原創(chuàng)并首次提出的新一代DevSecOps敏捷安全體系，正是防范和應(yīng)對(duì)現(xiàn)代軟件全生命周期風(fēng)險(xiǎn)最為合適的實(shí)戰(zhàn)抓手。通過在金融、能源、泛互聯(lián)網(wǎng)等行業(yè)的廣泛實(shí)踐，該體系被證明不僅適用于DevOps敏態(tài)開發(fā)環(huán)境，而且能應(yīng)用于軟件供應(yīng)鏈安全和云原生安全場(chǎng)景。子芽在演講中詳細(xì)介紹了DevSecOps敏捷安全體系的核心內(nèi)涵，并從文化、流程、技術(shù)、度量這四個(gè)維度梳理了整個(gè)體系框架。

演講至最后，子芽對(duì)DevSecOps敏捷安全技術(shù)演進(jìn)趨勢(shì)進(jìn)行了前瞻性的解讀，并分享了懸鏡在該領(lǐng)域的前沿研究成果——基于單探針的代碼疫苗技術(shù)和DevSecOps敏捷安全技術(shù)金字塔V2.0。

??懸鏡安全創(chuàng)始人&CEO子芽（左）與機(jī)械工業(yè)出版社資深主編楊福川（右）共同為《DevSecOps敏捷安全》新書揭幕??

產(chǎn)學(xué)研用，又見DSO 2022

子芽《DevSecOps敏捷安全》新書專題討論

現(xiàn)場(chǎng)嘉賓基于子芽新書和主題演講內(nèi)容，與子芽一道就DevSecOps相關(guān)熱點(diǎn)話題進(jìn)行了圓桌討論并分享了各自的行業(yè)洞察與實(shí)踐成果。

在中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所開源和軟件安全部副主任郭雪看來，DevSecOps近年來之所以受到廣泛關(guān)注，在于其“安全左移”的實(shí)踐思想完美契合云原生安全理念，即將安全和技術(shù)架構(gòu)體系進(jìn)行深度融合。她還特別提到，子芽創(chuàng)作的這本《DevSecOps敏捷安全》對(duì)整個(gè)產(chǎn)業(yè)的研究和標(biāo)準(zhǔn)化工作起到了十分積極的推動(dòng)作用，既指引了產(chǎn)業(yè)發(fā)展方向，又能切實(shí)指導(dǎo)企業(yè)高效落地實(shí)踐DevSecOps。

身為中興通訊開源合規(guī)與安全治理總監(jiān)，項(xiàng)曙明重點(diǎn)談到了DevSecOps在軟件供應(yīng)鏈安全領(lǐng)域不可或缺的作用。他表示，在業(yè)務(wù)快速交付和產(chǎn)品快速迭代的前提下，如何對(duì)軟件的開源成分進(jìn)行溯源、如何通過治理使原生的開源組件變得安全可信、如何確保開源軟件的安全合規(guī)，是企業(yè)乃至國(guó)家面臨的挑戰(zhàn)。而DevSecOps對(duì)解決軟件供應(yīng)鏈安全問題能起到極大的作用，因此他認(rèn)為子芽《DevSecOps敏捷安全》一書中的相關(guān)內(nèi)容能給企業(yè)帶來啟發(fā)。

汪永輝作為平安壹錢包安全DevSecOps運(yùn)營(yíng)負(fù)責(zé)人，在落地實(shí)踐方面有豐富的經(jīng)驗(yàn)。他認(rèn)為，一次里程碑事件能成為在企業(yè)內(nèi)部推廣DevSecOps的契機(jī)，以平安壹錢包為例，IAST技術(shù)的成功引入，使安全部門被認(rèn)可，進(jìn)而營(yíng)造起一種安全文化氛圍，之后的流程和工具鏈的搭建乃至DevSecOps體系的建立就變得順理成章了。當(dāng)然在此過程中，不可避免會(huì)遇到技術(shù)上的阻力，這時(shí)便可以參考《DevSecOps敏捷安全》這樣專業(yè)的著作或依靠懸鏡這樣優(yōu)質(zhì)的供應(yīng)商。

子芽《DevSecOps敏捷安全》新書專題討論現(xiàn)場(chǎng)

聚焦DevSecOps敏捷安全

子芽答記者問環(huán)節(jié)精彩回顧

安全牛：您創(chuàng)作這本書的初衷是什么？

子芽：創(chuàng)作的初衷也寫在本書的前言中。我始終記得上學(xué)時(shí)導(dǎo)師的寄語(yǔ)：“如果把人類現(xiàn)有的認(rèn)知實(shí)踐比作一個(gè)圈，那么當(dāng)博士畢業(yè)時(shí)，我們的研究實(shí)踐成果至少可以帶領(lǐng)人類從這個(gè)圈向外再踏出一步?！蔽液蛻溢R團(tuán)隊(duì)多年來一直堅(jiān)持這樣的創(chuàng)業(yè)初心，憑借多年技術(shù)沉淀，在DevSecOps賽道已達(dá)到國(guó)際先進(jìn)水平，有能力代表中國(guó)在該領(lǐng)域的技術(shù)力量向世界發(fā)出最強(qiáng)聲。所以創(chuàng)作和出版這本《DevSecOps敏捷安全》，既是為了分享懸鏡多年沉淀的技術(shù)實(shí)踐成果，也是有感于用戶才是懸鏡最好的產(chǎn)品經(jīng)理，希望將一些領(lǐng)域或者場(chǎng)景下的最佳解決方案反饋給更多行業(yè)的用戶，便于他們學(xué)習(xí)和參考。 

安全牛媒體分析師徐曉麗

中國(guó)信息安全：這本書適合哪些人群閱讀，對(duì)他們有什么具體幫助，您能否提供一些閱讀這本書的指導(dǎo)方法？

子芽：DevSecOps要求安全共擔(dān)，即安全跟參與數(shù)字化應(yīng)用任一相關(guān)環(huán)節(jié)的人都有關(guān)系，所以我希望這本書能出圈，幫助到更多人。具體而言，企業(yè)內(nèi)由上而下，從CEO、CTO、CIO等核心高管到安全負(fù)責(zé)人再到技術(shù)人員，學(xué)校里的老師和學(xué)生，都是其讀者受眾。這本書共分為五個(gè)部分，由淺入深，從0到1再到進(jìn)階，能不同程度上對(duì)上述人群賦能。

中國(guó)信息安全記者邱辰杰

嘶吼新媒體：剛才注意到有嘉賓提及這本書在一定程度上填補(bǔ)了國(guó)內(nèi)外相關(guān)領(lǐng)域的空白，您對(duì)此作何評(píng)價(jià)？

子芽：我在創(chuàng)作的過程中也一直在思考這本書能為業(yè)界乃至整個(gè)社會(huì)帶來的影響。我認(rèn)為有三點(diǎn)：第一，這本書第一次在全球范圍系統(tǒng)化構(gòu)筑和梳理了一套完整的能實(shí)戰(zhàn)落地的安全框架——DevSecOps敏捷安全體系；第二，硬科技的創(chuàng)新是推動(dòng)社會(huì)進(jìn)步的關(guān)鍵驅(qū)動(dòng)力，同時(shí)，科技的普惠化也尤為重要，而這本書正是將懸鏡多年來沉淀的原創(chuàng)前沿技術(shù)和創(chuàng)新理論認(rèn)知體系化分享出來；第三，這本書在實(shí)戰(zhàn)層面不僅聚焦國(guó)內(nèi)金融、泛互聯(lián)網(wǎng)等行業(yè)的最佳實(shí)踐，還關(guān)注美國(guó)國(guó)防部、Netflix、Salesforce等國(guó)際上的最佳實(shí)踐。

嘶吼新媒體記者單瑞映

網(wǎng)絡(luò)安全和信息化：DevSecOps敏捷安全體系的建設(shè)涉及文化、流程、技術(shù)、度量，您覺得企業(yè)在具體實(shí)施的時(shí)候，從哪一個(gè)點(diǎn)切入比較高效？

子芽：DevSecOps敏捷安全有兩大理念，一是以人為本，技術(shù)驅(qū)動(dòng)，二是同步規(guī)劃、同步構(gòu)建、同步運(yùn)營(yíng)。因而，自動(dòng)化的技術(shù)支撐包括敏捷安全工具鏈以及配套的全流程平臺(tái)是落地實(shí)踐過程中比較關(guān)鍵的；此外還有關(guān)鍵一點(diǎn)，在文化層面，要獲得高層支持，達(dá)成安全責(zé)任共擔(dān)的意識(shí)。

網(wǎng)絡(luò)安全和信息化記者趙志遠(yuǎn)

淺黑科技：安全廠商、企業(yè)用戶該如何看待DevSecOps敏捷安全的新技術(shù)、新趨勢(shì)，例如代碼疫苗技術(shù)？

子芽：企業(yè)在進(jìn)行安全建設(shè)的時(shí)候，沒有最好只有最匹配。DevSecOps的落地實(shí)踐是分階段且柔和的，即所謂潤(rùn)物細(xì)無(wú)聲。對(duì)于新技術(shù)，企業(yè)需要考慮自身安全建設(shè)不同階段的需求，其是否能解決實(shí)際問題，以及該技術(shù)在市場(chǎng)應(yīng)用推廣的節(jié)奏和商業(yè)模式。懸鏡的代碼疫苗技術(shù)通過單探針，在安全左移階段，利用IAST精準(zhǔn)覆蓋95%以上中高危漏洞，有效防止應(yīng)用帶病上線；在上線后常態(tài)化運(yùn)營(yíng)階段，利用RASP為應(yīng)用提供內(nèi)生主動(dòng)安全免疫能力。經(jīng)過幾年的沉淀和打磨，探針在穩(wěn)定性、語(yǔ)言的兼容性、運(yùn)行時(shí)性能損耗等方面均滿足企業(yè)用戶的嚴(yán)苛要求。

淺黑科技創(chuàng)始人史中

InfoQ：To B行業(yè)現(xiàn)在的增長(zhǎng)模式是產(chǎn)品驅(qū)動(dòng)，作為DevSecOps領(lǐng)導(dǎo)廠商的創(chuàng)始人，您肯定也肩負(fù)著推動(dòng)行業(yè)發(fā)展的社會(huì)責(zé)任，那么如何在推動(dòng)行業(yè)發(fā)展的同時(shí)兼顧企業(yè)戰(zhàn)略布局？

子芽：創(chuàng)業(yè)過程挫折不斷，支撐懸鏡最終爬起來的根本力量在于對(duì)技術(shù)和事業(yè)的深度熱愛。所以在我看來，推動(dòng)行業(yè)發(fā)展和引領(lǐng)懸鏡成為中國(guó)軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)的中堅(jiān)力量是并行不悖的。

InfoQ總編輯王一鵬

網(wǎng)絡(luò)安全與數(shù)據(jù)治理：從“未名湖畔”逐夢(mèng)到“懸鏡安全”筑夢(mèng)，從“動(dòng)心起念”到“知行合一”，子芽一直在踐行作為網(wǎng)絡(luò)安全科研技術(shù)從業(yè)人員的民族使命與擔(dān)當(dāng)，那么，可否分享一下在經(jīng)營(yíng)企業(yè)或者撰寫《DevSecOps敏捷安全》這本書過程中，給您帶來最大的收獲或者啟發(fā)？

子芽：北大的文化以及我深造時(shí)所處實(shí)驗(yàn)室的文化都教會(huì)了我心要自由。心要自由便敢于去突破，這賦予了我創(chuàng)業(yè)的勇氣。在創(chuàng)業(yè)的過程中，我和懸鏡團(tuán)隊(duì)洞察到行業(yè)乃至國(guó)家對(duì)軟件供應(yīng)鏈和云原生中敏捷安全的需求，并通過努力走在了該領(lǐng)域的前沿，便順勢(shì)而為將沉淀的經(jīng)驗(yàn)成果通過這本書分享給所有人。

我認(rèn)為，作為安全廠商，在快速發(fā)展過程中要聚焦于自身核心領(lǐng)域。以懸鏡為例，在創(chuàng)業(yè)過程便中深度聚焦4個(gè)“一”的核心能力：一個(gè)運(yùn)行時(shí)單探針、一項(xiàng)代碼疫苗技術(shù)、一套積極防御框架、一套敏捷安全體系。此外，企業(yè)發(fā)展需要聯(lián)動(dòng)緊密的上下游生態(tài)。懸鏡正在做的一些嘗試，比如和DevOps平臺(tái)、中間件廠商、咨詢機(jī)構(gòu)進(jìn)行深度的合作，初衷也是為用戶提供更好的產(chǎn)品和服務(wù)體驗(yàn)。

網(wǎng)絡(luò)安全與數(shù)據(jù)治理主任于寅虎

贈(zèng)人玫瑰，手留余香

子芽新書簽贈(zèng)儀式環(huán)節(jié)回顧

活動(dòng)臨近尾聲，子芽簽名贈(zèng)書給現(xiàn)場(chǎng)的每一位嘉賓和媒體朋友，并與大家合影留念。

子芽新書簽贈(zèng)儀式現(xiàn)場(chǎng) 

活動(dòng)結(jié)束之后，有媒體坦言從子芽的這次新書發(fā)布會(huì)收獲了行業(yè)前沿研究成果，加深了他們對(duì)DevSecOps這一新興賽道的認(rèn)知，相信這本新書能幫助推動(dòng)DevSecOps敏捷安全成熟生態(tài)圈的建立。 

子芽與現(xiàn)場(chǎng)媒體（部分）合影留念 

《DevSecOps敏捷安全》作者簡(jiǎn)介：子芽，懸鏡安全創(chuàng)始人兼CEO，OpenSCA開源社區(qū)創(chuàng)始人，中國(guó)信通院軟件供應(yīng)鏈安全社區(qū)首席安全專家，DSO敏捷安全大會(huì)出品人，ISC十周年代表性人物，擁有10年以上前沿安全技術(shù)研究實(shí)踐經(jīng)驗(yàn)，具有國(guó)際視野和工程綜合創(chuàng)新能力的高端科技領(lǐng)軍人才。長(zhǎng)期從事AI深度學(xué)習(xí)算法在持續(xù)威脅評(píng)估領(lǐng)域的研究，擁有多項(xiàng)原創(chuàng)發(fā)明專利授權(quán)，曾承擔(dān)國(guó)家級(jí)重大網(wǎng)絡(luò)安全項(xiàng)目和科研項(xiàng)目，首創(chuàng)的“DevSecOps智適應(yīng)威脅管理體系”已演進(jìn)至第三代，在產(chǎn)業(yè)界影響頗深。