在CCF TF第61期活动中,悬镜安全创始人子芽分享了云原生场景下软件供应链风险治理技术,强调了软件供应链安全的重要性。随着云原生技术的发展,软件供应链面临新的安全挑战,包括开源风险、开发工具和环境的安全问题。子芽提出了代码疫苗和积极防御技术作为应对策略,并探讨了DevSecOps在云原生安全构建中的关键作用,强调安全需要同时左移和右移,形成积极防御体系。
CCF TF(技术前线委员会,Tech Frontier Committee)是中国计算机学会(CCF)为企业界计算机专业人士创建的企业间常态化合作交流平台,创始委员由Intel、LinkedIn、Microsoft、爱奇艺、百度、滴滴、方正、瓜子、华为、京东、链家网、联想、蚂蚁金服、美团点评、摩拜、奇虎360、搜狗、曙光、腾讯、网易、微博、小米、携程、新浪、中兴等25家知名企业的技术团队负责人(CTO、技术副总或研究院院长)担任。CCF TF会定期以SIG(Special Interest Group)为主体举行丰富的交流活动。
于近日举办的CCF TF第61期交流活动,主题为开发安全与软件供应链安全,特别邀请悬镜安全创始人&CEO子芽发表演讲。子芽凭借自身对行业的敏锐洞察以及悬镜在相关领域的技术创新和实践经验,与CCF TF安全SIG主席&北京赛博英杰科技有限公司董事长谭晓生及其他嘉宾对软件供应链风险治理进行了深度探讨。
图1 扫码观看更多精彩回放
当下,云原生技术正驱动着产业数字化转型进程不断加速,由云原生和开源带来的下一代软件供应链安全正面临新的挑战。如何使开发的软件更为安全,如何保障软件供应链安全,是全球关注的焦点。
基于这样的大背景,子芽以“云原生场景下软件供应链风险治理技术浅谈”为主题,详细阐明了软件供应链风险治理流程以及自动化智能化工具链——悬镜安全原创专利级代码疫苗和积极防御技术。
云原生时代面临的应用安全风险
数字化时代,对于软件应用有三个安全共识:
- 数字化应用正成为社会运转的基本组件。数字化时代,一切皆可编程,软件定义万物。软件已然成为新一代信息技术的灵魂。
- 现代软件都是组装的而非纯自研。近5年,开源代码在现代应用中所占比例由40%增至78%-90%。混源开发成为主要模式,软件供应链安全威胁日趋严峻。
- 代码一定有未被发现的安全漏洞。平均每千行代码就会出现2-40个逻辑性缺陷。缺陷是天生的,漏洞是必然的。
软件供应链泛指一家企业和组织开展数字化业务所依赖的软件,包括研发、运营、供应等各项活动所依赖的软件以及与软件评估、生产、分发等相关的任何活动,主要包括三个方面:软件开发方(供应商/上游)、软件供应方(供应商及运营服务商/中间)、软件使用方(消费者/下游)。
在云原生时代,软件供应链技术发生了跃迁式的演进,相较以往,有4处不同。
第一个是新制品,即软件成分从传统的闭源到混源再到以开源为主导;
第二个是新发布,即开发过程不断升级,从传统的瀑布式到敏捷
最低0.47元/天 解锁文章
670
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
