子芽新书《DevSecOps敏捷安全》如约而至

悬镜安全、OpenSCA创始人子芽10年沉淀首次公开

10位学术界和企业界权威安全专家联袂推荐

内容简介:这是一本体系化讲解DevSecOps敏捷安全的实战性著作,为企业应对软件开发方式敏态化与软件供应链开源化带来的安全挑战提供了解决之道,它能有效指导企业快速将安全能力完整嵌入整个DevOps体系,在保证业务研发效能的同时实现敏捷安全内生和自成长。

7月26日下午,由悬镜安全主办、OpenSCA社区协办的“又见DSO 2022,子芽《DevSecOps敏捷安全》新书发布会”在北大博雅国际酒店成功举行。网络安全圈的一众博雅之士相聚一堂,以书为媒,与新书作者即悬镜安全创始人兼CEO、OpenSCA社区创始人子芽共话行业新技术、新趋势。

本次发布会由新书出版单位机械工业出版社资深主编杨福川老师亲自主持。中国信息通信研究院云计算与大数据研究所开源和软件安全部副主任郭雪、中兴通讯开源合规与安全治理总监项曙明、平安壹钱包安全DevSecOps运营负责人汪永辉作为嘉宾出席。中国信息安全、InfoQ、安全牛、网络安全与数据治理、网络安全和信息化、嘶吼新媒体、雷锋网、浅黑科技、亿欧网等二十余家主流媒体到场参加、踊跃提问并聚焦发布会内容进行了深度报道。

 点击观看➡又见DSO 2022”子芽《DevSecOps敏捷安全》新书发布会集锦

十年沉淀,厚积薄发

子芽发表“DevSecOps敏捷安全体系浅谈”主题演讲

发布会伊始,北京大学计算机学院教授/网络信息安全实验室主任陈钟、正奇学苑及璟泰创投创始人谭晓生、中国电信研究院安全技术研究所所长何国锋、国网湖南电力网络安全技术首席工程师田铮、CODING创始人&CEO张海龙、道客网络首席安全官张嵩、看雪学苑创始人段钢、开源中国&Gitee创始人兼CTO红薯等诸多大咖通过视频或莅临现场的方式再次推荐了新书《DevSecOps敏捷安全》并对本次活动送上诚挚祝福。

随后,子芽在主题为“DevSecOps敏捷安全体系浅谈”的演讲中,全面梳理了云原生时代面临的数字化安全风险与挑战并重点讲解了其新书的部分核心内容。

子芽认为,数字经济时代,软件定义万物并已经成为保障社会正常运转的基本组件,然而现代软件饱受开源成分缺陷、Web通用漏洞、业务逻辑漏洞、异常行为代码等潜在安全风险面的威胁。而且随着新制品(开源主导)、新发布(DevOps研运一体化)、新技术(微服务架构)、新环境(容器化)的出现,企业组织竞相拥抱业务上云、组织上云的云原生时代,使得数字化应用风险面、软件供应链安全范围有了较大的外延。

子芽主题演讲现场

子芽指出,在新书《DevSecOps敏捷安全》中,由悬镜安全原创并首次提出的新一代DevSecOps敏捷安全体系,正是防范和应对现代软件全生命周期风险最为合适的实战抓手。通过在金融、能源、泛互联网等行业的广泛实践,该体系被证明不仅适用于DevOps敏态开发环境,而且能应用于软件供应链安全和云原生安全场景。子芽在演讲中详细介绍了DevSecOps敏捷安全体系的核心内涵,并从文化、流程、技术、度量这四个维度梳理了整个体系框架。

演讲至最后,子芽对DevSecOps敏捷安全技术演进趋势进行了前瞻性的解读,并分享了悬镜在该领域的前沿研究成果——基于单探针的代码疫苗技术和DevSecOps敏捷安全技术金字塔V2.0

悬镜安全创始人&CEO子芽(左)与机械工业出版社资深主编杨福川(右)共同为《DevSecOps敏捷安全》新书揭幕

产学研用,又见DSO 2022

子芽《DevSecOps敏捷安全》新书专题讨论

现场嘉宾基于子芽新书和主题演讲内容,与子芽一道就DevSecOps相关热点话题进行了圆桌讨论并分享了各自的行业洞察与实践成果。

在中国信通院云计算与大数据研究所开源和软件安全部副主任郭雪看来,DevSecOps近年来之所以受到广泛关注,在于其“安全左移”的实践思想完美契合云原生安全理念,即将安全和技术架构体系进行深度融合。她还特别提到,子芽创作的这本《DevSecOps敏捷安全》对整个产业的研究和标准化工作起到了十分积极的推动作用,既指引了产业发展方向,又能切实指导企业高效落地实践DevSecOps。

身为中兴通讯开源合规与安全治理总监,项曙明重点谈到了DevSecOps在软件供应链安全领域不可或缺的作用。他表示,在业务快速交付和产品快速迭代的前提下,如何对软件的开源成分进行溯源、如何通过治理使原生的开源组件变得安全可信、如何确保开源软件的安全合规,是企业乃至国家面临的挑战。而DevSecOps对解决软件供应链安全问题能起到极大的作用,因此他认为子芽《DevSecOps敏捷安全》一书中的相关内容能给企业带来启发。

汪永辉作为平安壹钱包安全DevSecOps运营负责人,在落地实践方面有丰富的经验。他认为,一次里程碑事件能成为在企业内部推广DevSecOps的契机,以平安壹钱包为例,IAST技术的成功引入,使安全部门被认可,进而营造起一种安全文化氛围,之后的流程和工具链的搭建乃至DevSecOps体系的建立就变得顺理成章了。当然在此过程中,不可避免会遇到技术上的阻力,这时便可以参考《DevSecOps敏捷安全》这样专业的著作或依靠悬镜这样优质的供应商。

子芽《DevSecOps敏捷安全》新书专题讨论现场

聚焦DevSecOps敏捷安全

子芽答记者问环节精彩回顾

安全牛:您创作这本书的初衷是什么?

子芽:创作的初衷也写在本书的前言中。我始终记得上学时导师的寄语:“如果把人类现有的认知实践比作一个圈,那么当博士毕业时,我们的研究实践成果至少可以带领人类从这个圈向外再踏出一步。”我和悬镜团队多年来一直坚持这样的创业初心,凭借多年技术沉淀,在DevSecOps赛道已达到国际先进水平,有能力代表中国在该领域的技术力量向世界发出最强声。所以创作和出版这本《DevSecOps敏捷安全》,既是为了分享悬镜多年沉淀的技术实践成果,也是有感于用户才是悬镜最好的产品经理,希望将一些领域或者场景下的最佳解决方案反馈给更多行业的用户,便于他们学习和参考。

安全牛媒体分析师徐晓丽

中国信息安全:这本书适合哪些人群阅读,对他们有什么具体帮助,您能否提供一些阅读这本书的指导方法?

子芽:DevSecOps要求安全共担,即安全跟参与数字化应用任一相关环节的人都有关系,所以我希望这本书能出圈,帮助到更多人。具体而言,企业内由上而下,从CEO、CTO、CIO等核心高管到安全负责人再到技术人员,学校里的老师和学生,都是其读者受众。这本书共分为五个部分,由浅入深,从0到1再到进阶,能不同程度上对上述人群赋能。

中国信息安全记者邱辰杰

嘶吼新媒体:刚才注意到有嘉宾提及这本书在一定程度上填补了国内外相关领域的空白,您对此作何评价?

子芽:我在创作的过程中也一直在思考这本书能为业界乃至整个社会带来的影响。我认为有三点:第一,这本书第一次在全球范围系统化构筑和梳理了一套完整的能实战落地的安全框架——DevSecOps敏捷安全体系;第二,硬科技的创新是推动社会进步的关键驱动力,同时,科技的普惠化也尤为重要,而这本书正是将悬镜多年来沉淀的原创前沿技术和创新理论认知体系化分享出来;第三,这本书在实战层面不仅聚焦国内金融、泛互联网等行业的最佳实践,还关注美国国防部、Netflix、Salesforce等国际上的最佳实践。

嘶吼新媒体记者单瑞映

网络安全和信息化:DevSecOps敏捷安全体系的建设涉及文化、流程、技术、度量,您觉得企业在具体实施的时候,从哪一个点切入比较高效?

子芽:DevSecOps敏捷安全有两大理念,一是以人为本,技术驱动,二是同步规划、同步构建、同步运营。因而,自动化的技术支撑包括敏捷安全工具链以及配套的全流程平台是落地实践过程中比较关键的;此外还有关键一点,在文化层面,要获得高层支持,达成安全责任共担的意识。

网络安全和信息化记者赵志远

浅黑科技:安全厂商、企业用户该如何看待DevSecOps敏捷安全的新技术、新趋势,例如代码疫苗技术?

子芽:企业在进行安全建设的时候,没有最好只有最匹配。DevSecOps的落地实践是分阶段且柔和的,即所谓润物细无声。对于新技术,企业需要考虑自身安全建设不同阶段的需求,其是否能解决实际问题,以及该技术在市场应用推广的节奏和商业模式。悬镜的代码疫苗技术通过单探针,在安全左移阶段,利用IAST精准覆盖95%以上中高危漏洞,有效防止应用带病上线;在上线后常态化运营阶段,利用RASP为应用提供内生主动安全免疫能力。经过几年的沉淀和打磨,探针在稳定性、语言的兼容性、运行时性能损耗等方面均满足企业用户的严苛要求。

浅黑科技创始人史中

InfoQ:To B行业现在的增长模式是产品驱动,作为DevSecOps领导厂商的创始人,您肯定也肩负着推动行业发展的社会责任,那么如何在推动行业发展的同时兼顾企业战略布局?

子芽:创业过程挫折不断,支撑悬镜最终爬起来的根本力量在于对技术和事业的深度热爱。所以在我看来,推动行业发展和引领悬镜成为中国软件供应链安全治理与运营的中坚力量是并行不悖的。

InfoQ总编辑王一鹏

网络安全与数据治理:从“未名湖畔”逐梦到“悬镜安全”筑梦,从“动心起念”到“知行合一”,子芽一直在践行作为网络安全科研技术从业人员的民族使命与担当,那么,可否分享一下在经营企业或者撰写《DevSecOps敏捷安全》这本书过程中,给您带来最大的收获或者启发?

子芽:北大的文化以及我深造时所处实验室的文化都教会了我心要自由。心要自由便敢于去突破,这赋予了我创业的勇气。在创业的过程中,我和悬镜团队洞察到行业乃至国家对软件供应链和云原生中敏捷安全的需求,并通过努力走在了该领域的前沿,便顺势而为将沉淀的经验成果通过这本书分享给所有人。

我认为,作为安全厂商,在快速发展过程中要聚焦于自身核心领域。以悬镜为例,在创业过程便中深度聚焦4个“一”的核心能力:一个运行时单探针、一项代码疫苗技术、一套积极防御框架、一套敏捷安全体系。此外,企业发展需要联动紧密的上下游生态。悬镜正在做的一些尝试,比如和DevOps平台、中间件厂商、咨询机构进行深度的合作,初衷也是为用户提供更好的产品和服务体验。

网络安全与数据治理主任于寅虎

赠人玫瑰,手留余香

子芽新书签赠仪式环节回顾

活动临近尾声,子芽签名赠书给现场的每一位嘉宾和媒体朋友,并与大家合影留念。

子芽新书签赠仪式现场

活动结束之后,有媒体坦言从子芽的这次新书发布会收获了行业前沿研究成果,加深了他们对DevSecOps这一新兴赛道的认知,相信这本新书能帮助推动DevSecOps敏捷安全成熟生态圈的建立。

子芽与现场媒体(部分)合影留念

《DevSecOps敏捷安全》作者简介:子芽,悬镜安全创始人兼CEO,OpenSCA开源社区创始人,中国信通院软件供应链安全社区首席安全专家,DSO敏捷安全大会出品人,ISC十周年代表性人物,拥有10年以上前沿安全技术研究实践经验,具有国际视野和工程综合创新能力的高端科技领军人才。长期从事AI深度学习算法在持续威胁评估领域的研究,拥有多项原创发明专利授权,曾承担国家级重大网络安全项目和科研项目,首创的“DevSecOps智适应威胁管理体系”已演进至第三代,在产业界影响颇深。

前一篇欧洲天然气管道遭遇勒索软件攻击
后一篇“软件定义汽车”的背后,海量代码安全性该如何保证?