海云安受邀出席湾区金科沙龙(第四十期)——敏捷开发安全与软件供应链安全实践探讨专场
11月1日下午,由深圳市金融科技协会主办的湾区金科(Fintech)沙龙(第四十期)——敏捷开发安全与软件供应链安全实践探讨专场在湾区国际金融科技城举办。深圳市金融科技协会会员单位代表、福田金科双园入驻企业代表等现场参加了活动,逾1500名业界人士线上线下同步参加,海云安首席技术官齐大伟受邀出席此次活动。
活动大咖云集,微众银行应用安全负责人徐浩冬、Seal 数澈软件联合创始人及CTO梁胜、安信证券开发安全负责人覃阳青、海云安首席技术官齐大伟等4位网络安全领域资深专家分别在会上做主题分享。
微众银行应用安全负责人徐浩冬:敏捷开发安全质量提升探索和实践
徐浩冬提到,敏捷开发安全质量提升遇到的挑战包括安全层面和研发层面。在安全层面,会出现职责划分不清晰、团队人力不足、自动化不完善、工具适用性差等问题;在研发层面,有研发流程不统一、产品复杂多样、新技术安全能力储备不足、安全技能和意识薄弱等问题要解决。
对此,微众银行的应对思路是研发为安全质量负责,安全为研发提供能力支撑,从单点管控转向全流程覆盖,进行跨团队联合共建、协作共赢。在开发过程中进行明确的职责划分,并根据安全现状,制定开发相关安全规范和标准,建立标准化、高效可执行开发安全相关流程,实施闭环管理。根据风险治理需要和研发相关需求,微众银行搭建覆盖软件全生命周期各个阶段自动化工具和运营监测等平台,让研发能高效、高质量保障系统安全质量。此外,还要制定适用当前成熟度运营度量指标,并根据运营情况对安全治理方向进行及时调整。
徐浩冬表示,安全研发流程得到推广后,微众银行开发测试阶段安全漏洞消除率不断提高,外漏到众测SRC漏洞大幅下降。
Seal 数澈软件联合创始人及CTO梁胜:如何保证企业软件供应链安全(线上)
Seal成立于2022年3月,公司定位于软件供应链安全创新解决方案的研发与应用,目前已推出新一代软件供应链防火墙。
梁胜分享了企业在保护软件供应链安全时所面临的诸多挑战,以及如何借助工具应对这些问题。他指出,软件供应链攻击比传统攻击有更大隐患,近年来软件供应链安全事件频发,形势日益严峻。现有的软件供应链安全工具的不足主要体现在传统扫描工具报错太多、软件供应链安全信息汇总难、国内市场需求量大。
软件供应链安全是一个全链路问题,其是左移纠错+全链路安全的结合。Seal软件供应链防火墙可以实现链路的软件供应链管理,主要有三个特点:供应链全局关联、全链路防护、可扩展架构,从代码安全、构建系统、运行环境、依赖项等方面保护软件供应链,做到整体协调,给企业提供全链路高度可信赖的软件供应链防护。
安信证券开发安全负责人覃阳青:软件安全开发实践分享
覃阳青认为,SDL与DevSecOps在流程治理与工具链落地、使用场景、关注的开发环节、人员协作、安全工作效率等方面有所区别。
DevSecOps落地的关键点在于组织结构是否相适应、流程支持是否到位、技术支撑是否有效。DevSecOps落地会改变开发习惯,需要有与之适应的组织结构与文化。同时,落地需要有流程的支持,按不同企业的性质不同,需要建设本企业独特的管理流程。此外,自动化检测工具在缩短开发生命周期和提高安全工作效率方面扮演着关键角色,安全检测能力对最终安全效果起到决定性作用。
对此,安信证券主要从标准/规范与流程建设、员工安全培训、安全工具链构建、安全度量指标等方面开展DevSecOps落地实践。其中,标准/规范与流程建设的设计原则是安全共生、安全左移、强弱搭配、精兵利器、自动化、闭环持续改进。
海云安首席技术官齐大伟:没有敏捷白盒,就没有DevSecOps
齐大伟通过漏洞误报率、检测速率、检测精准度,治理思想转变等方面对传统白盒和敏捷白盒进行对比,讲述了敏捷白盒在敏捷开发环境中的优势以及对于敏捷开发安全实现的重要性。
DevOps向DevSecOps平滑过渡的关键在于引入安全能力的同时,不破坏流水线自动化。DevSecOps场景对安全检测工具提出了新要求:检测速度要快、误报率要低、自动化程度要高。
对此,传统白盒(SAST)在DevSecOps体系建设中的应用痛点是误报率高、检测速度慢、以及异质的治理模式。因此,敏捷白盒需要对的这三项关键能力进行突破,以适应DevSecOps体系建设的要求。其中,敏捷白盒在DevSecOps体系实践上与安全卡点融合,实现研发自治,做到安全赋能。
DevSecOps体系建设的价值与收益在于,合法合规、降本增效、安全保障、提升能力。