陳鐘-北京大學-DevSecOps軟件供應鏈安全的機遇與挑戰-脫敏版（20頁）.pdf

《陳鐘-北京大學-DevSecOps軟件供應鏈安全的機遇與挑戰-脫敏版（20頁）.pdf》由會員分享，可在線閱讀，更多相關《陳鐘-北京大學-DevSecOps軟件供應鏈安全的機遇與挑戰-脫敏版（20頁）.pdf（20頁珍藏版）》請在三個皮匠報告上搜索。

1、DevSecOps軟件供應鏈安全的機遇與挑戰陳鐘陳鐘北京大學教授網絡與信息安全實驗室主任個人介紹陳鐘 北京大學信息科學技術學院教授、網絡與信息安全實驗室主任主要從事面向領域軟件工程、網絡與信息安全方向的教學、科研與社會服務，取得多項國家級教學與科研成果和獎勵北京大學軟件與微電子學院創始院長（2002-2010）計算機科學技術系主任（2011-2015）教育部高等學校計算機類專業教學指導委員會副主任委員中國軟件行業協會副理事長及軟件造價分會會長信息技術新工科產學研聯盟副理事長中國開源軟件推進聯盟副理事長ISACA中國專家委員會委員.軟件供應鏈安全現狀DevSecOps的引入DevSecOps的R

2、SAC演進DevSecOps的機遇DevSecOps的幾點思考演講目錄軟件供應鏈安全現狀面臨的風險和挑戰軟件開源化的趨勢，造就軟件供應鏈的開源化軟件供應鏈開源化造成軟件供應鏈安全問題開始呈現軟件供應鏈的安全威脅導致軟件全生命周期存在永遠無法消除的安全隱患現代應用安全的風險面針對現代應用全面風險審查應考慮從第三方開源組件、自研代碼通用漏洞、自研代碼業務邏輯漏洞等維度綜合審計。DevSecOps的引入DevSecOps的引入DevSecOps（Development Security Operations）核心理念：“安全是整個IT團隊所有成員的責任，需要貫穿整個業務生命周期的每一個環節”DevS

3、eOps的RSAC演進歷屆RSAC上DevSecOps的演進時間里程碑內容和意義RSAC 2017提出左移安全前置的思想 源頭做安全治理 運營向開發的持續反饋調整RSAC 2018提出“Golden Pipeline”實踐體系，強調 CI/CD 自動化工具鏈支撐 確定出一套適應CI/CD的軟件流水線實踐體系 工具鏈：穩定、可落地、安全RSAC 2019提出DevSecOps落地實踐效果度量機制 DevSecOps宣言 提升“簡單領域”的自動化和集成程度，聚焦在業務領域的復雜問題上（組織、管控流程等） DevSecOps的實踐度量機制：六個階段九個實踐點：人工環節、架構設計、DevSecOps工

4、具鏈、全流程漏洞管理、漏洞治理政策、攻防對抗演練RSAC 2020聚焦DevSecOps文化轉型，強調人的因素 人的行為自始至終就與數據、威脅、風險、隱私及管理等因素交織在一起 讓人成為安全的一環，而非問題的一環 DevSecOps文化的轉型，人是關鍵從RSAC 2017年第一次設立DevSecOps day至今，DevSecOps體系日趨成熟，相關方法論、技術與實踐經驗都有了明顯的提升，配套工具鏈技術也日趨完善，這其中多少要感謝一些國內外技術創新力量的貢獻。DevSecOps的機遇開發安全市場全球需求穩步增長2020年全球網絡安全市場規模增長至9.1%安全服務與軟件安全占比達80.6%數據來

5、源：公開資料整理國內市場我國網絡安全市場迎來快速發展期，網絡安全應用市場廣泛政府、電信與金融領域應用網絡安全產品和服務最多很多細分領域的安全需求成為推動網安行業持續增長的動力我國網絡安全行業保持在20%以上的增長，2020年市場規模達到749.2億，軟件占比達到38.7%數據來源：公開資料整理國家層面關注度（網絡安全法、等保等）2016年至今部分重要網絡安全政策時間政策文件要點2016年11月網絡安全法強調了金融、能源、交通、電子政務等行業在網絡安全等級保護制度的建設，是我國第一部網絡空間管理方面的基礎性法律2017年1月信息通信網絡與信息安全規劃（2016-2020年）指導信息通信行業開展十

6、三五期間網絡信息安全工作，服務網絡強國建設、國家安全和社會穩定的大局2018年3月關于推動資本市場服務網絡強國建設的指導意見推動網信事業和資本市場協調發展，保障國家網絡安全和金融安全，促進網信和證券監督工作聯動。2019年5月網絡安全等級保護技術2.0版本提出了對云計算安全、移動互聯網安全、物聯網安全和工業控制系統安全擴展要求。為落實信息安全工作提出了新的要求。2020年4月網絡安全審查辦法關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當按照辦法進行網絡安全審查。DevSecOps商業落地自2012年由Gartner 提出后，正逐步吸引業界的目光RSA大會上，2020年

7、的10強中有三家企業和DevSecOps相關國內圍繞DevSecOps的討論增多，十余家廠商聚焦在開發安全層面DevSecOps關鍵工具鏈技術01AST應用安全測試02SCA第三方組件成分分析03RASP運行時應用自保護04紅藍對抗和SRCDevSecOps的幾點思考開展全方位的軟件供應鏈安全防護方法和技術研究0101020304建立國家層面的軟件供應鏈安全監管評測體系提升網站中開源軟件源代碼的防篡改防偽造技術等防護水平推動新技術在軟件供應鏈安全領域的應用，從根本上可靠020304如何落地實施？關于DevSecOps的幾點思考本質是風險和信任的平衡攻防對抗是安全的脈搏人是安全的基本尺度從源頭做威脅治理