玄境安全,OpenSCA创始人子牙10年积累首次出版10位学界和商界权威安全专家共同推荐简介:这是一篇系统的DevSecOps敏捷解读安全实践工作为企业应对软件开发方式敏感性和软件供应链开源带来的安全挑战提供了解决方案。可以有效引导企业快速将安全能力嵌入到整个DevOps体系中,在保证业务研发效率的同时,实现敏捷的安全内生和自我成长。7月26日下午,由玄境安全主办,OpenSCA社区协办的“又见DSO2022,子牙《DevSecOps敏捷安全》新书发布会”在北大博雅国际酒店成功举办。一群网络安全圈的文科人士齐聚一堂,与新书作者、玄境安全创始人兼CEO、OpenSCA社区创始人子牙共同探讨行业新技术、新趋势。发布会由新书出版单位机械工业出版社高级主编杨富川先生亲自主持。中国信息通信研究院云计算与大数据研究所开源与软件安全部副主任郭雪,中兴通讯开源合规与安全治理总监向树明,王永辉,平安OneWalletSecurityDevSecOpsOperations总监作为嘉宾出席。中国信息安全、InfoQ、安全牛、网络安全与数据治理、网络安全与信息化、咆哮新媒体、雷锋网、千黑科技、亿欧网等20余家主流媒体出席活动,积极提问,聚焦话题对发布的会议内容进行了深入报道。点击观看?另见DSO2022《子牙《DevSecOps敏捷安全》新书发布会合集》数十年沉淀,厚积薄发,子牙发表了《DevSecOps敏捷安全体系》主题演讲。信息安全实验室主任陈忠,正气研究院、景泰创投创始人谭晓生,中国电信研究院安全技术研究所所长何国峰,国网湖南电力网络安全技术总工程师田政,CODING创始人&CEO张海龙、道客网络首席安全官张松、看学学院创始人段钢、红薯、开元中国&Gitee创始人兼CTO等众多大咖推荐新书《DevSecOps敏捷安全》再次通过视频或现场走访送上礼物,为本次活动送上真挚的祝福。随后,他在题为《浅谈DevSecOps敏捷安全体系》的演讲中,全面梳理了云原生时代面临的数字安全风险与挑战,重点阐述了新书的部分核心内容。子牙认为,在数字经济时代,软件定义一切,已经成为保障社会正常运转的基本组成部分。然而,现代软件面临开源组件缺陷、Web通用漏洞、业务逻辑漏洞、异常行为代码等潜在安全风险威胁。此外,随着新产品(开源主导)、新版本(DevOps研究运维一体化)、新技术(微服务架构)、新环境(容器化)的出现,企业和组织正在拥抱业务和组织云云。在原始时代,数字应用的风险面和软件供应链的安全范围都有更大的延伸。在子牙主题演讲中,子牙在新书《DevSecOps敏捷安全》中指出,玄境安全独创的新一代DevSecOps敏捷安全体系是企业全生命周期风险防范和应对最合适的实践切入点。现代软件。通过在金融、能源、泛互联网等行业的广泛实践,该系统不仅适用于DevOps敏感的开发环境,也适用于软件供应链安全和云原生安全场景。子牙在演讲中详细介绍了DevSecOps敏捷安全体系的核心内容,并从文化、流程、技术、衡量四个维度梳理了整个体系框架。演讲最后,子牙对DevSecOps敏捷安全技术的演进趋势进行了前瞻性解读,并分享了玄境在该领域的前沿研究成果——基于单探针的代码疫苗技术与DevSecOps敏捷安全技术金字塔V2。0.玄境安全创始人&CEO子牙(左)与机械工业出版社高级主编杨富川(右)共同为《DevSecOps敏捷安全》产学研应用新书揭幕,另见DSO2022Ziya《DevSecOps敏捷安全》新书讨论现场嘉宾围绕Ziya的新书和主题演讲,与Ziya就DevSecOps相关热点话题进行了圆桌讨论,分享了行业见解和实践成果。据中国信息通信研究院云计算与大数据研究所开源与软件安全部副主任郭雪介绍,DevSecOps近年来之所以受到广泛关注,是因为其“安全左移”的实践思路非常契合云原生安全的理念。安全与技术架构体系深度融合。她还特别提到,子牙创作的《DevSecOps敏捷安全》一书对整个行业的研究和标准化起到了非常积极的推动作用。不仅为行业发展指明了方向,也有效引导企业高效实施DevSecOps。作为中兴通讯开源合规与安全治理总监,向树明重点阐述了DevSecOps在软件供应链安全领域不可或缺的作用。他表示,在业务快速交付、产品快速迭代的前提下,如何对软件开源组件进行溯源,如何通过治理让原有开源组件安全可靠,如何确保安全和开源软件的合规性是企业乃至国家面临的严峻问题。而DevSecOps对于解决软件供应链的安全问题可以起到很大的作用,所以他认为子牙《DevSecOps敏捷安全》一书中的相关内容可以对企业有所启发。王永辉作为平安One钱包安全DevSecOps运营负责人,有着丰富的实践实施经验。他认为里程碑事件可以成为在企业内推广DevSecOps的机会。以平安OneWallet为例,IAST技术的成功引入,让安全部门得到了认可,从而营造了安全文化氛围。后续的流程和工具链体系的搭建,甚至DevSecOps体系的建立都变得顺理成章。当然,在这个过程中,难免会遇到技术上的阻力。这时候可以参考《DevSecOps敏捷安全》这样的专业作品,或者依赖玄晶这样的优质供应商。子牙《DevSecOps敏捷安全》新书讨论聚焦DevSecOps敏捷安全子牙记者问答环节亮点回顾安全牛:您写这本书的初衷是什么?子牙:创作的初衷也写在这本书的序言中。一直记得上学时导师给我的寄语:“如果把人类现有的认知实践比作一个圆圈,那么当我们博士毕业时,我们的研究和实践成果至少可以引领人类在这个圈子之外再迈出一步。”多年来,我和玄境团队一直秉承着这样的创业初衷。凭借多年的技术积累,我们在DevSecOps赛道已达到国际先进水平,能够向世界代表中国在该领域的技术实力。因此,本书的创作和出版《DevSecOps敏捷安全》,不仅是为了分享玄境多年来积累的技术实践成果,更是为了感受用户是玄境最好的产品经理,希望回馈最好的解决方案在某些领域或场景下,面向更多行业的用户,方便他们学习和参考。中国信息安全平安牛媒体分析师徐晓丽:这本书适合哪些人,会给他们提供哪些具体的帮助?你能提供一些阅读本书的指导吗?Ziya:DevSecOps要求安全共担责任,即安全关系到数字应用任何相关环节涉及的任何人,所以希望这本书能够走出圈子,帮助更多的人。具体来说,从企业上到下,从CEO、CTO、CIO等核心高管到安全负责人,再到技术人员、学校师生,都是它的读者。本书分为五个部分,由浅入深,从0到1再到进阶,可以不同程度地为上述人群赋能。中国信息安全记者邱晨杰怒怼新媒体:刚刚注意到有嘉宾提到,这本书在一定程度上填补了国内外相关领域的空白。你对此有何评论?子牙:在写作的过程中,我一直在思考这本书能够给行业乃至整个社会带来的影响。我认为有三点:第一,本书系统地构建和梳理了一个完整的可在全球范围内付诸实践的安全框架——DevSecOps敏捷安全体系;第二,硬科技的创新是推动社会进步的关键动力,同时,科技的包容性也尤为重要,而本书就是分享原创的前沿科技和创新理论认知玄境多年积累的系统;第三,本书在实战层面,不仅关注国内金融、泛互联网等行业的最佳实践,也关注美国国防部、Netflix、Salesforce等国际最佳实践.咆哮新媒体记者单瑞英网络安全与信息化:DevSecOps敏捷安全体系建设涉及文化、流程、技术、衡量。您认为企业在实施时从哪个点入手效率更高?Ziya:DevSecOps敏捷安全有两大概念,一是以人为本,技术驱动,二是同步规划、同步建设、同步运行。因此,包括敏捷安全工具链和支持全流程平台在内的自动化技术支持在实施过程中至关重要;另外,在文化层面,要获得高层的支持,实现安全共担的责任感。浅层科技网络安全与信息化记者赵志远:安全厂商和企业用户应该如何看待代码疫苗技术等DevSecOps敏捷安全的新技术和趋势?子牙:企业在进行安全建设时,没有最佳匹配,只有最佳匹配。DevSecOps的实践是阶段性的,温和的,正所谓润物细无声。对于新技术,企业需要考虑自身安全建设不同阶段的需求,能否解决实际问题,以及技术在市场上应用推广的节奏和商业模式。玄境代码疫苗技术采用单探针,通过IAST精准覆盖安全左移阶段95%以上的中高危漏洞,有效防止应用带病上线;主动安全免疫。经过几年的沉淀和打磨,探针在稳定性、语言兼容性、运行时性能损耗等方面满足了企业用户的苛刻要求。InfoQ:目前ToB行业的增长模式是产品驱动。作为领先的DevSecOps厂商的创始人,也必须肩负起推动行业发展的社会责任。那么如何在照顾好企业的同时促进行业的发展呢?战略布局?子牙:创业过程中挫折不断,但支撑玄镜最终向上攀登的根本力量在于对技术和事业的热爱。因此,在我看来,推动行业发展与引领玄境成为中国软件供应链安全治理运营的中坚力量是齐头并进的。InfoQ主编王一鹏网络安全与数据治理:从“无名湖畔”逐梦到“挂镜安防”筑梦,从“始于思想”到“知行合一”,子牙已一直以来作为一名网络安全研究技术从业者的国家使命和责任,那么,您能分享一下您在经营企业或撰写本书过程中给您带来的最大收获或启发《DevSecOps敏捷安全》?子牙:北大的文化和我读书的实验室的文化,教会了我要自由。内心想要自由,就敢于突破,这让我有了创业的勇气。在创业的过程中,我和炫镜团队洞察到行业乃至国家对软件供应链和云原生敏捷安全的需求,通过我们的努力,我们一直走在最前沿。这个领域,我们顺势而为,将积累的经验和成果,通过这本书送给大家。在我看来,作为安全厂商,在快速发展的过程中,有必要专注于自己的核心领域。以玄境为例,在创业过程中,聚焦四个“一”核心能力:运行时单探针、代码疫苗技术、主动防御框架、敏捷安全体系。此外,企业发展需要紧密联系的上下游生态。玄境正在做的一些尝试,比如与DevOps平台、中间件厂商、咨询机构的深度合作,本来就是为了给用户提供更好的产品和服务体验。网络安全与数据治理总监余银虎赠送了手中一朵余香扑鼻的玫瑰。子牙新书签赠送仪式的评测即将结束。子牙签了一本书送给现场的每一位嘉宾和媒体朋友,并与大家合影留念。在子牙新书上签仪式现场活动结束后,有媒体坦言在子牙新书发布会上收获了前沿研究成果,加深了对DevSecOps这一新兴赛道的理解。相信这本新书可以帮助推动建立DevSecOps敏捷安全成熟生态。子牙与现场媒体合影(部分)《DevSecOps敏捷安全》作者简介:子牙,玄境安全创始人兼CEO,OpenSCA开源社区创始人,中科院软件供应链安全社区首席安全专家InformationandCommunicationsTechnology,DSO敏捷安全大会出品ISC十周年代表人物,高端科技领军人物,10余年前沿安全技术研究实践经验,国际化视野和综合工程创新能力。长期从事持续威胁评估领域的AI深度学习算法研究,拥有多项原创发明专利授权,承担国家网络安全重大专项和科研项目。首创的“DevSecOps智能自适应威胁管理系统”已经发展到第三代,对业界产生了深远的影响。
