子芽新書《DevSecOps敏捷安全》如約而至
摘要: 十年沉淀,厚積薄發(fā)
懸鏡安全、OpenSCA創(chuàng)始人子芽10年沉淀首次公開
10位學術界和企業(yè)界權威安全專家聯(lián)袂推薦
10位學術界和企業(yè)界權威安全專家聯(lián)袂推薦
內容簡介:這是一本體系化講解DevSecOps敏捷安全的實戰(zhàn)性著作,為企業(yè)應對軟件開發(fā)方式敏態(tài)化與軟件供應鏈開源化帶來的安全挑戰(zhàn)提供了解決之道,它能有效指導企業(yè)快速將安全能力完整嵌入整個DevOps體系,在保證業(yè)務研發(fā)效能的同時實現(xiàn)敏捷安全內生和自成長。
7月26日下午,由懸鏡安全主辦、OpenSCA社區(qū)協(xié)辦的“又見DSO 2022,子芽《DevSecOps敏捷安全》新書發(fā)布會”在北大博雅國際酒店成功舉行。網(wǎng)絡安全圈的一眾博雅之士相聚一堂,以書為媒,與新書作者即懸鏡安全創(chuàng)始人兼CEO、OpenSCA社區(qū)創(chuàng)始人子芽共話行業(yè)新技術、新趨勢。
本次發(fā)布會由新書出版單位機械工業(yè)出版社資深主編楊福川老師親自主持。中國信息通信研究院云計算與大數(shù)據(jù)研究所開源和軟件安全部副主任郭雪、中興通訊開源合規(guī)與安全治理總監(jiān)項曙明、平安壹錢包安全DevSecOps運營負責人汪永輝作為嘉賓出席。中國信息安全、InfoQ、安全牛、網(wǎng)絡安全與數(shù)據(jù)治理、網(wǎng)絡安全和信息化、嘶吼新媒體、雷鋒網(wǎng)、淺黑科技、億歐網(wǎng)等二十余家主流媒體到場參加、踴躍提問并聚焦發(fā)布會內容進行了深度報道。
十年沉淀,厚積薄發(fā)
子芽發(fā)表“DevSecOps敏捷安全體系淺談”主題演講
發(fā)布會伊始,北京大學計算機學院教授/網(wǎng)絡信息安全實驗室主任陳鐘、正奇學苑及璟泰創(chuàng)投創(chuàng)始人譚曉生、中國電信研究院安全技術研究所所長何國鋒、國網(wǎng)湖南電力網(wǎng)絡安全技術首席工程師田錚、CODING創(chuàng)始人&CEO張海龍、道客網(wǎng)絡首席安全官張嵩、看雪學苑創(chuàng)始人段鋼、開源中國&Gitee創(chuàng)始人兼CTO紅薯等諸多大咖通過視頻或蒞臨現(xiàn)場的方式再次推薦了新書《DevSecOps敏捷安全》并對本次活動送上誠摯祝福。子芽發(fā)表“DevSecOps敏捷安全體系淺談”主題演講
隨后,子芽在主題為“DevSecOps敏捷安全體系淺談”的演講中,全面梳理了云原生時代面臨的數(shù)字化安全風險與挑戰(zhàn)并重點講解了其新書的部分核心內容。
子芽認為,數(shù)字經(jīng)濟時代,軟件定義萬物并已經(jīng)成為保障社會正常運轉的基本組件,然而現(xiàn)代軟件飽受開源成分缺陷、Web通用漏洞、業(yè)務邏輯漏洞、異常行為代碼等潛在安全風險面的威脅。而且隨著新制品(開源主導)、新發(fā)布(DevOps研運一體化)、新技術(微服務架構)、新環(huán)境(容器化)的出現(xiàn),企業(yè)組織競相擁抱業(yè)務上云、組織上云的云原生時代,使得數(shù)字化應用風險面、軟件供應鏈安全范圍有了較大的外延。
子芽主題演講現(xiàn)場
子芽指出,在新書《DevSecOps敏捷安全》中,由懸鏡安全原創(chuàng)并首次提出的新一代DevSecOps敏捷安全體系,正是防范和應對現(xiàn)代軟件全生命周期風險最為合適的實戰(zhàn)抓手。通過在金融、能源、泛互聯(lián)網(wǎng)等行業(yè)的廣泛實踐,該體系被證明不僅適用于DevOps敏態(tài)開發(fā)環(huán)境,而且能應用于軟件供應鏈安全和云原生安全場景。子芽在演講中詳細介紹了DevSecOps敏捷安全體系的核心內涵,并從文化、流程、技術、度量這四個維度梳理了整個體系框架。
演講至最后,子芽對DevSecOps敏捷安全技術演進趨勢進行了前瞻性的解讀,并分享了懸鏡在該領域的前沿研究成果——基于單探針的代碼疫苗技術和DevSecOps敏捷安全技術金字塔V2.0。
產(chǎn)學研用,又見DSO 2022
子芽《DevSecOps敏捷安全》新書專題討論
現(xiàn)場嘉賓基于子芽新書和主題演講內容,與子芽一道就DevSecOps相關熱點話題進行了圓桌討論并分享了各自的行業(yè)洞察與實踐成果。子芽《DevSecOps敏捷安全》新書專題討論
在中國信通院云計算與大數(shù)據(jù)研究所開源和軟件安全部副主任郭雪看來,DevSecOps近年來之所以受到廣泛關注,在于其“安全左移”的實踐思想完美契合云原生安全理念,即將安全和技術架構體系進行深度融合。她還特別提到,子芽創(chuàng)作的這本《DevSecOps敏捷安全》對整個產(chǎn)業(yè)的研究和標準化工作起到了十分積極的推動作用,既指引了產(chǎn)業(yè)發(fā)展方向,又能切實指導企業(yè)高效落地實踐DevSecOps。
身為中興通訊開源合規(guī)與安全治理總監(jiān),項曙明重點談到了DevSecOps在軟件供應鏈安全領域不可或缺的作用。他表示,在業(yè)務快速交付和產(chǎn)品快速迭代的前提下,如何對軟件的開源成分進行溯源、如何通過治理使原生的開源組件變得安全可信、如何確保開源軟件的安全合規(guī),是企業(yè)乃至國家面臨的挑戰(zhàn)。而DevSecOps對解決軟件供應鏈安全問題能起到極大的作用,因此他認為子芽《DevSecOps敏捷安全》一書中的相關內容能給企業(yè)帶來啟發(fā)。
汪永輝作為平安壹錢包安全DevSecOps運營負責人,在落地實踐方面有豐富的經(jīng)驗。他認為,一次里程碑事件能成為在企業(yè)內部推廣DevSecOps的契機,以平安壹錢包為例,IAST技術的成功引入,使安全部門被認可,進而營造起一種安全文化氛圍,之后的流程和工具鏈的搭建乃至DevSecOps體系的建立就變得順理成章了。當然在此過程中,不可避免會遇到技術上的阻力,這時便可以參考《DevSecOps敏捷安全》這樣專業(yè)的著作或依靠懸鏡這樣優(yōu)質的供應商。
子芽《DevSecOps敏捷安全》新書專題討論現(xiàn)場
聚焦DevSecOps敏捷安全
子芽答記者問環(huán)節(jié)精彩回顧
安全牛:您創(chuàng)作這本書的初衷是什么?子芽答記者問環(huán)節(jié)精彩回顧
子芽:創(chuàng)作的初衷也寫在本書的前言中。我始終記得上學時導師的寄語:“如果把人類現(xiàn)有的認知實踐比作一個圈,那么當博士畢業(yè)時,我們的研究實踐成果至少可以帶領人類從這個圈向外再踏出一步。”我和懸鏡團隊多年來一直堅持這樣的創(chuàng)業(yè)初心,憑借多年技術沉淀,在DevSecOps賽道已達到國際先進水平,有能力代表中國在該領域的技術力量向世界發(fā)出最強聲。所以創(chuàng)作和出版這本《DevSecOps敏捷安全》,既是為了分享懸鏡多年沉淀的技術實踐成果,也是有感于用戶才是懸鏡最好的產(chǎn)品經(jīng)理,希望將一些領域或者場景下的最佳解決方案反饋給更多行業(yè)的用戶,便于他們學習和參考。

安全牛媒體分析師徐曉麗
中國信息安全:這本書適合哪些人群閱讀,對他們有什么具體幫助,您能否提供一些閱讀這本書的指導方法?
子芽:DevSecOps要求安全共擔,即安全跟參與數(shù)字化應用任一相關環(huán)節(jié)的人都有關系,所以我希望這本書能出圈,幫助到更多人。具體而言,企業(yè)內由上而下,從CEO、CTO、CIO等核心高管到安全負責人再到技術人員,學校里的老師和學生,都是其讀者受眾。這本書共分為五個部分,由淺入深,從0到1再到進階,能不同程度上對上述人群賦能。
中國信息安全記者邱辰杰
嘶吼新媒體:剛才注意到有嘉賓提及這本書在一定程度上填補了國內外相關領域的空白,您對此作何評價?
子芽:我在創(chuàng)作的過程中也一直在思考這本書能為業(yè)界乃至整個社會帶來的影響。我認為有三點:第一,這本書第一次在全球范圍系統(tǒng)化構筑和梳理了一套完整的能實戰(zhàn)落地的安全框架——DevSecOps敏捷安全體系;第二,硬科技的創(chuàng)新是推動社會進步的關鍵驅動力,同時,科技的普惠化也尤為重要,而這本書正是將懸鏡多年來沉淀的原創(chuàng)前沿技術和創(chuàng)新理論認知體系化分享出來;第三,這本書在實戰(zhàn)層面不僅聚焦國內金融、泛互聯(lián)網(wǎng)等行業(yè)的最佳實踐,還關注美國國防部、Netflix、Salesforce等國際上的最佳實踐。
嘶吼新媒體記者單瑞映
網(wǎng)絡安全和信息化:DevSecOps敏捷安全體系的建設涉及文化、流程、技術、度量,您覺得企業(yè)在具體實施的時候,從哪一個點切入比較高效?
子芽:DevSecOps敏捷安全有兩大理念,一是以人為本,技術驅動,二是同步規(guī)劃、同步構建、同步運營。因而,自動化的技術支撐包括敏捷安全工具鏈以及配套的全流程平臺是落地實踐過程中比較關鍵的;此外還有關鍵一點,在文化層面,要獲得高層支持,達成安全責任共擔的意識。
網(wǎng)絡安全和信息化記者趙志遠
淺黑科技:安全廠商、企業(yè)用戶該如何看待DevSecOps敏捷安全的新技術、新趨勢,例如代碼疫苗技術?
子芽:企業(yè)在進行安全建設的時候,沒有最好只有最匹配。DevSecOps的落地實踐是分階段且柔和的,即所謂潤物細無聲。對于新技術,企業(yè)需要考慮自身安全建設不同階段的需求,其是否能解決實際問題,以及該技術在市場應用推廣的節(jié)奏和商業(yè)模式。懸鏡的代碼疫苗技術通過單探針,在安全左移階段,利用IAST精準覆蓋95%以上中高危漏洞,有效防止應用帶病上線;在上線后常態(tài)化運營階段,利用RASP為應用提供內生主動安全免疫能力。經(jīng)過幾年的沉淀和打磨,探針在穩(wěn)定性、語言的兼容性、運行時性能損耗等方面均滿足企業(yè)用戶的嚴苛要求。
淺黑科技創(chuàng)始人史中
InfoQ:To B行業(yè)現(xiàn)在的增長模式是產(chǎn)品驅動,作為DevSecOps領導廠商的創(chuàng)始人,您肯定也肩負著推動行業(yè)發(fā)展的社會責任,那么如何在推動行業(yè)發(fā)展的同時兼顧企業(yè)戰(zhàn)略布局?
子芽:創(chuàng)業(yè)過程挫折不斷,支撐懸鏡最終爬起來的根本力量在于對技術和事業(yè)的深度熱愛。所以在我看來,推動行業(yè)發(fā)展和引領懸鏡成為中國軟件供應鏈安全治理與運營的中堅力量是并行不悖的。
InfoQ總編輯王一鵬
網(wǎng)絡安全與數(shù)據(jù)治理:從“未名湖畔”逐夢到“懸鏡安全”筑夢,從“動心起念”到“知行合一”,子芽一直在踐行作為網(wǎng)絡安全科研技術從業(yè)人員的民族使命與擔當,那么,可否分享一下在經(jīng)營企業(yè)或者撰寫《DevSecOps敏捷安全》這本書過程中,給您帶來最大的收獲或者啟發(fā)?
子芽:北大的文化以及我深造時所處實驗室的文化都教會了我心要自由。心要自由便敢于去突破,這賦予了我創(chuàng)業(yè)的勇氣。在創(chuàng)業(yè)的過程中,我和懸鏡團隊洞察到行業(yè)乃至國家對軟件供應鏈和云原生中敏捷安全的需求,并通過努力走在了該領域的前沿,便順勢而為將沉淀的經(jīng)驗成果通過這本書分享給所有人。
我認為,作為安全廠商,在快速發(fā)展過程中要聚焦于自身核心領域。以懸鏡為例,在創(chuàng)業(yè)過程便中深度聚焦4個“一”的核心能力:一個運行時單探針、一項代碼疫苗技術、一套積極防御框架、一套敏捷安全體系。此外,企業(yè)發(fā)展需要聯(lián)動緊密的上下游生態(tài)。懸鏡正在做的一些嘗試,比如和DevOps平臺、中間件廠商、咨詢機構進行深度的合作,初衷也是為用戶提供更好的產(chǎn)品和服務體驗。
網(wǎng)絡安全與數(shù)據(jù)治理主任于寅虎
贈人玫瑰,手留余香
子芽新書簽贈儀式環(huán)節(jié)回顧
活動臨近尾聲,子芽簽名贈書給現(xiàn)場的每一位嘉賓和媒體朋友,并與大家合影留念。
子芽新書簽贈儀式環(huán)節(jié)回顧
子芽新書簽贈儀式現(xiàn)場
活動結束之后,有媒體坦言從子芽的這次新書發(fā)布會收獲了行業(yè)前沿研究成果,加深了他們對DevSecOps這一新興賽道的認知,相信這本新書能幫助推動DevSecOps敏捷安全成熟生態(tài)圈的建立。
子芽與現(xiàn)場媒體(部分)合影留念
《DevSecOps敏捷安全》作者簡介:子芽,懸鏡安全創(chuàng)始人兼CEO,OpenSCA開源社區(qū)創(chuàng)始人,中國信通院軟件供應鏈安全社區(qū)首席安全專家,DSO敏捷安全大會出品人,ISC十周年代表性人物,擁有10年以上前沿安全技術研究實踐經(jīng)驗,具有國際視野和工程綜合創(chuàng)新能力的高端科技領軍人才。長期從事AI深度學習算法在持續(xù)威脅評估領域的研究,擁有多項原創(chuàng)發(fā)明專利授權,曾承擔國家級重大網(wǎng)絡安全項目和科研項目,首創(chuàng)的“DevSecOps智適應威脅管理體系”已演進至第三代,在產(chǎn)業(yè)界影響頗深。