写点什么

子芽新书《DevSecOps 敏捷安全》如约而至

  • 2022-08-03
  • 本文字数:4265 字

    阅读完需:约 14 分钟

子芽新书《DevSecOps敏捷安全》如约而至

悬镜安全、OpenSCA 创始人子芽 10 年沉淀首次公开 10 位学术界和企业界权威安全专家联袂推荐


7 月 26 日下午,由悬镜安全主办、OpenSCA社区协办的“又见 DSO 2022,子芽《DevSecOps 敏捷安全》新书发布会”在北大博雅国际酒店成功举行。网络安全圈的一众博雅之士相聚一堂,以书为媒,与新书作者即悬镜安全创始人兼 CEO、OpenSCA 社区创始人子芽共话行业新技术、新趋势。



本次发布会由新书出版单位机械工业出版社资深主编杨福川老师亲自主持。中国信息通信研究院云计算与大数据研究所开源和软件安全部副主任郭雪、中兴通讯开源合规与安全治理总监项曙明、平安壹钱包安全 DevSecOps 运营负责人汪永辉作为嘉宾出席。中国信息安全、InfoQ、安全牛、网络安全与数据治理、网络安全和信息化、嘶吼新媒体、雷锋网、浅黑科技、亿欧网等二十余家主流媒体到场参加、踊跃提问并聚焦发布会内容进行了深度报道。


点击观看➡又见 DSO 2022”子芽《DevSecOps 敏捷安全》新书发布会集锦

直接用悬镜视频号即可,链接地址:https://weixin.qq.com/sph/AQiwBz

十年沉淀,厚积薄发 子芽发表“DevSecOps 敏捷安全体系浅谈”主题演讲


发布会伊始,北京大学计算机学院教授/网络信息安全实验室主任陈钟、正奇学苑及璟泰创投创始人谭晓生、中国电信研究院安全技术研究所所长何国锋、国网湖南电力网络安全技术首席工程师田铮、CODING 创始人 &CEO 张海龙、道客网络首席安全官张嵩、看雪学苑创始人段钢、开源中国 &Gitee 创始人兼 CTO 红薯等诸多大咖通过视频或莅临现场的方式再次推荐了新书《DevSecOps 敏捷安全》并对本次活动送上诚挚祝福。


随后,子芽在主题为“DevSecOps 敏捷安全体系浅谈”的演讲中,全面梳理了云原生时代面临的数字化安全风险与挑战并重点讲解了其新书的部分核心内容。


子芽认为,数字经济时代,软件定义万物并已经成为保障社会正常运转的基本组件,然而现代软件饱受开源成分缺陷、Web 通用漏洞、业务逻辑漏洞、异常行为代码等潜在安全风险面的威胁。而且随着新制品(开源主导)、新发布(DevOps 研运一体化)、新技术(微服务架构)、新环境(容器化)的出现,企业组织竞相拥抱业务上云、组织上云的云原生时代,使得数字化应用风险面、软件供应链安全范围有了较大的外延。


子芽主题演讲现场


子芽指出,在新书《DevSecOps 敏捷安全》中,由悬镜安全原创并首次提出的新一代 DevSecOps 敏捷安全体系,正是防范和应对现代软件全生命周期风险最为合适的实战抓手。通过在金融、能源、泛互联网等行业的广泛实践,该体系被证明不仅适用于DevOps敏态开发环境,而且能应用于软件供应链安全和云原生安全场景。子芽在演讲中详细介绍了 DevSecOps 敏捷安全体系的核心内涵,并从文化、流程、技术、度量这四个维度梳理了整个体系框架。


演讲至最后,子芽对 DevSecOps 敏捷安全技术演进趋势进行了前瞻性的解读,并分享了悬镜在该领域的前沿研究成果——基于单探针的代码疫苗技术和 DevSecOps 敏捷安全技术金字塔 V2.0。


直接使用悬镜安全视频号链接地址:https://weixin.qq.com/sph/A1woJr


悬镜安全创始人 &CEO 子芽(左)与机械工业出版社资深主编杨福川(右)共同为《DevSecOps 敏捷安全》新书揭幕


产学研用,又见 DSO 2022 子芽《DevSecOps 敏捷安全》新书专题讨论


现场嘉宾基于子芽新书和主题演讲内容,与子芽一道就 DevSecOps 相关热点话题进行了圆桌讨论并分享了各自的行业洞察与实践成果。


在中国信通院云计算与大数据研究所开源和软件安全部副主任郭雪看来,DevSecOps 近年来之所以受到广泛关注,在于其“安全左移”的实践思想完美契合云原生安全理念,即将安全和技术架构体系进行深度融合。她还特别提到,子芽创作的这本《DevSecOps 敏捷安全》对整个产业的研究和标准化工作起到了十分积极的推动作用,既指引了产业发展方向,又能切实指导企业高效落地实践 DevSecOps。


身为中兴通讯开源合规与安全治理总监,项曙明重点谈到了 DevSecOps 在软件供应链安全领域不可或缺的作用。他表示,在业务快速交付和产品快速迭代的前提下,如何对软件的开源成分进行溯源、如何通过治理使原生的开源组件变得安全可信、如何确保开源软件的安全合规,是企业乃至国家面临的挑战。而 DevSecOps 对解决软件供应链安全问题能起到极大的作用,因此他认为子芽《DevSecOps 敏捷安全》一书中的相关内容能给企业带来启发。


汪永辉作为平安壹钱包安全 DevSecOps 运营负责人,在落地实践方面有丰富的经验。他认为,一次里程碑事件能成为在企业内部推广 DevSecOps 的契机,以平安壹钱包为例,IAST 技术的成功引入,使安全部门被认可,进而营造起一种安全文化氛围,之后的流程和工具链的搭建乃至 DevSecOps 体系的建立就变得顺理成章了。当然在此过程中,不可避免会遇到技术上的阻力,这时便可以参考《DevSecOps 敏捷安全》这样专业的著作或依靠悬镜这样优质的供应商。


子芽《DevSecOps 敏捷安全》新书专题讨论现场

聚焦 DevSecOps 敏捷安全 子芽答记者问环节精彩回顾


安全牛:您创作这本书的初衷是什么?


子芽:创作的初衷也写在本书的前言中。我始终记得上学时导师的寄语:“如果把人类现有的认知实践比作一个圈,那么当博士毕业时,我们的研究实践成果至少可以带领人类从这个圈向外再踏出一步。”我和悬镜团队多年来一直坚持这样的创业初心,凭借多年技术沉淀,在 DevSecOps 赛道已达到国际先进水平,有能力代表中国在该领域的技术力量向世界发出最强声。所以创作和出版这本《DevSecOps 敏捷安全》,既是为了分享悬镜多年沉淀的技术实践成果,也是有感于用户才是悬镜最好的产品经理,希望将一些领域或者场景下的最佳解决方案反馈给更多行业的用户,便于他们学习和参考。



安全牛媒体分析师徐晓丽


中国信息安全:这本书适合哪些人群阅读,对他们有什么具体帮助,您能否提供一些阅读这本书的指导方法?


子芽:DevSecOps 要求安全共担,即安全跟参与数字化应用任一相关环节的人都有关系,所以我希望这本书能出圈,帮助到更多人。具体而言,企业内由上而下,从 CEO、CTO、CIO 等核心高管到安全负责人再到技术人员,学校里的老师和学生,都是其读者受众。这本书共分为五个部分,由浅入深,从 0 到 1 再到进阶,能不同程度上对上述人群赋能。



中国信息安全记者邱辰杰


嘶吼新媒体:刚才注意到有嘉宾提及这本书在一定程度上填补了国内外相关领域的空白,您对此作何评价?


子芽:我在创作的过程中也一直在思考这本书能为业界乃至整个社会带来的影响。我认为有三点:第一,这本书第一次在全球范围系统化构筑和梳理了一套完整的能实战落地的安全框架——DevSecOps 敏捷安全体系;第二,硬科技的创新是推动社会进步的关键驱动力,同时,科技的普惠化也尤为重要,而这本书正是将悬镜多年来沉淀的原创前沿技术和创新理论认知体系化分享出来;第三,这本书在实战层面不仅聚焦国内金融、泛互联网等行业的最佳实践,还关注美国国防部、Netflix、Salesforce等国际上的最佳实践。



嘶吼新媒体记者单瑞映


网络安全和信息化:DevSecOps 敏捷安全体系的建设涉及文化、流程、技术、度量,您觉得企业在具体实施的时候,从哪一个点切入比较高效?


子芽:DevSecOps 敏捷安全有两大理念,一是以人为本,技术驱动,二是同步规划、同步构建、同步运营。因而,自动化的技术支撑包括敏捷安全工具链以及配套的全流程平台是落地实践过程中比较关键的;此外还有关键一点,在文化层面,要获得高层支持,达成安全责任共担的意识。



网络安全和信息化记者赵志远


浅黑科技:安全厂商、企业用户该如何看待 DevSecOps 敏捷安全的新技术、新趋势,例如代码疫苗技术?


子芽:企业在进行安全建设的时候,没有最好只有最匹配。DevSecOps 的落地实践是分阶段且柔和的,即所谓润物细无声。对于新技术,企业需要考虑自身安全建设不同阶段的需求,其是否能解决实际问题,以及该技术在市场应用推广的节奏和商业模式。悬镜的代码疫苗技术通过单探针,在安全左移阶段,利用 IAST 精准覆盖 95%以上中高危漏洞,有效防止应用带病上线;在上线后常态化运营阶段,利用 RASP 为应用提供内生主动安全免疫能力。经过几年的沉淀和打磨,探针在稳定性、语言的兼容性、运行时性能损耗等方面均满足企业用户的严苛要求。



浅黑科技创始人史中


InfoQ:To B 行业现在的增长模式是产品驱动,作为 DevSecOps 领导厂商的创始人,您肯定也肩负着推动行业发展的社会责任,那么如何在推动行业发展的同时兼顾企业战略布局?


子芽:创业过程挫折不断,支撑悬镜最终爬起来的根本力量在于对技术和事业的深度热爱。所以在我看来,推动行业发展和引领悬镜成为中国软件供应链安全治理与运营的中坚力量是并行不悖的。



InfoQ 总编辑王一鹏


网络安全与数据治理:从“未名湖畔”逐梦到“悬镜安全”筑梦,从“动心起念”到“知行合一”,子芽一直在践行作为网络安全科研技术从业人员的民族使命与担当,那么,可否分享一下在经营企业或者撰写《DevSecOps 敏捷安全》这本书过程中,给您带来最大的收获或者启发?


子芽:北大的文化以及我深造时所处实验室的文化都教会了我心要自由。心要自由便敢于去突破,这赋予了我创业的勇气。在创业的过程中,我和悬镜团队洞察到行业乃至国家对软件供应链和云原生中敏捷安全的需求,并通过努力走在了该领域的前沿,便顺势而为将沉淀的经验成果通过这本书分享给所有人。


我认为,作为安全厂商,在快速发展过程中要聚焦于自身核心领域。以悬镜为例,在创业过程便中深度聚焦 4 个“一”的核心能力:一个运行时单探针、一项代码疫苗技术、一套积极防御框架、一套敏捷安全体系。此外,企业发展需要联动紧密的上下游生态。悬镜正在做的一些尝试,比如和 DevOps 平台、中间件厂商、咨询机构进行深度的合作,初衷也是为用户提供更好的产品和服务体验。



网络安全与数据治理主任于寅虎

赠人玫瑰,手留余香 子芽新书签赠仪式环节回顾


活动临近尾声,子芽签名赠书给现场的每一位嘉宾和媒体朋友,并与大家合影留念。



子芽新书签赠仪式现场


活动结束之后,有媒体坦言从子芽的这次新书发布会收获了行业前沿研究成果,加深了他们对 DevSecOps 这一新兴赛道的认知,相信这本新书能帮助推动 DevSecOps 敏捷安全成熟生态圈的建立。



子芽与现场媒体(部分)合影留念


《DevSecOps 敏捷安全》作者简介:子芽,悬镜安全创始人兼 CEO,OpenSCA 开源社区创始人,中国信通院软件供应链安全社区首席安全专家,DSO 敏捷安全大会出品人,ISC 十周年代表性人物,拥有 10 年以上前沿安全技术研究实践经验,具有国际视野和工程综合创新能力的高端科技领军人才。长期从事 AI 深度学习算法在持续威胁评估领域的研究,拥有多项原创发明专利授权,曾承担国家级重大网络安全项目和科研项目,首创的“DevSecOps 智适应威胁管理体系”已演进至第三代,在产业界影响颇深。

2022-08-03 18:096504

评论

发布
暂无评论
发现更多内容

web内容如何保护:如何有效地保护 HTML5 格式的视频内容?

zhoulujun

DRM 视频版权保护 数字版权保护 h5视频版权

IET出席2022世界科技社团发展与治理论坛 为构建国际科技共同体献言献策

E科讯

不要小看了积分商城,它的作用可以很大!

CRMEB

商城风格也可以很多变,DIY 了解一下!

CRMEB

中断操作:AbortController学习笔记

zhoulujun

什么是算子?

华为云开发者联盟

人工智能 算子

微博评论的计算架构

极客土豆

解析数仓lazyagg查询重写优化

华为云开发者联盟

数据库 后端

Wireshark网卡无法找到或没有显示的问题

岚哲

网络 Wireshark 域名 vpn 网卡

TML转义字符:xss攻击与HTML字符的转义和反转义

zhoulujun

XSS xss攻击 转义字符 反转义

华为发布两大昇腾计划 推动AI人才发展和科研创新

郝俸🦁好棒

昇腾

面试官:你简历上说精通mysql,那你说下聚簇/联合/覆盖索引、回表、索引下推

Java全栈架构师

MySQL 数据库 程序员 面试 java架构

MyBatis 执行流程及源码解析

码农参上

mybatis java实战

六大专题全方位优化,阿里巴巴性能优化小册终开源,带你直抵性能极致

Java全栈架构师

Java 程序员 面试 性能优化

揭秘GES超大规模图计算引擎HyG:图切分

华为云开发者联盟

人工智能 图计算 图切分

Flutter 网络请求封装之Dio(Cookie管理、添加拦截器、下载文件、异常处理、取消请求等)

yechaoa

flutter android 6月月更 dio

揭秘GaussDB(for Redis):全面对比Codis

华为云开发者联盟

数据库 后端 算力

Java代码优化请求合并与分而治之

码农参上

Java 大数据 高并发 java实战

源码其实很简单!阿里巴巴最新出品Spring学习脑图+视频+文档真香

Java全栈架构师

Java spring 源码 程序员 面试

喜报|海泰方圆通过CMMI-3资质认证,研发能力获国际认可

电子信息发烧客

新一代构建工具(1):对比rollup/parcel/esbuild—esbuild脱颖而出

zhoulujun

Rollup webpack esbuild

地理位置数据存储方案——Redis GEO

程序员架构进阶

redis 源码剖析 geo 6月日更 6月月更

DDD概念复杂难懂,实际落地如何设计代码实现模型?

Java全栈架构师

程序员 后端 领域驱动设计 DDD 架构师

TLog 助力盘古框架实现微服务链路日志追踪

码农大熊

盘古开发框架

Pipenv中安装Django

宇宙之一粟

django 6月月更

先到先得!“阿里爸爸”全新出品SpringBoot高级笔记(全彩版)

Java全栈架构师

Java 源码 程序员 面试 springboot

《睡眠公式》:怎么治睡不好?

郭明

读书笔记

居家办公让我绩效拿了C | 社区征文

大菠萝

初夏征文

SDN系统方法 | 10. SDN的未来

俞凡

架构 网络 sdn SDN系统方法

Tiger DAO VC产品正式上线,Seektiger生态的有力补充

鳄鱼视界

面对AI人才培养的“产学研”鸿沟,昇腾AI如何做厚产业人才黑土地?

脑极体

子芽新书《DevSecOps敏捷安全》如约而至_编程语言_悬镜安全_InfoQ精选文章