加载中 ...
首页 > 新闻 > 科技要闻 > 正文

BCS2020举办DevSecOps论坛,业界领袖共话敏捷开发和运维

2020-08-13 17:01:55 来源:财经新闻网

  在“安全左移”的趋势下,DevSecOps(安全开发运维一体化)已经成为企业数字化转型过程中应用安全的基础保障。8月12日,作为北京网络安全大会(BCS2020) 重磅环节,由中国信息通信研究院主办、“网安一哥”奇安信集团协办的DevSecOps论坛如期召开。众多行业领导、技术专家等就内生安全在敏捷开发与运维方面的落地进行了深入交流和探讨。论坛还对《中国DevOps现状调查报告(2020年)》进行了深度解读。

  本次论坛汇聚了研究机构、央企、网络安全等各领域的多位重磅嘉宾,其中包括中国信息通信研究院云大所所长何宝宏、中国信息通信研究院云大所云计算部副主任牛晓玲、中国人寿研发中心安全测试负责人路向宇、农行研发中心安全部主任工程师孙勇、中国信息通信研究院云大所云计算部研究员刘凯铃、悬镜安全CEO子芽、JFrog 中国解决方案架构师刘永强、奇安信网络安全部产品安全负责人武鑫等。

  何宝宏:DevSecOps将成为行业的重要发展方向

  中国信息通信研究院云大所所长何宝宏为大会进行了主题演讲。他表示,随着软件行业发展的迅猛,软件迭代速度不断加快,云计算等新技术日趋成熟,再加之企业上云现在已经成为一种必然趋势,DevSecOps正在逐步取代传统的开发模式。而基于我国对网络安全的重视,也让DevSecOps成为重要的发展方向。

  何宝宏表示,中国信息通信院联合国内互联网通信行业机构和社区顶级专家,共同编制了DevSecOps能力成熟度模型第六部分安全及风险管理,对DevSecOps全链中的开发,交付,运营等过程中的安全风险控制进行了规范,并提供了有效的引导。

  牛晓玲:DevSecOps是在在持续交互中增加安全性手段

  中国信息通信研究院云大所云计算部副主任牛晓玲发表了名为“DevSecOps的标准解读”的主题演讲。牛晓玲表示,DevSecOps就是把一些安全性的框架整合到整个软件开发流程当中,研发、运营、测试安全部门之间要相互协作,能够实现一些数据的可用性和安全性,包括整个研发流程的安全性。

  随后,牛晓玲表示,DevSecOps是一种企业安全文化的渗透,同时它也是制度流程和工具的一个结合体。它是将这种安全性和合规性,纳入软件全生命周期的方法,同时也是由学习和使劲驱动的全公司级的战略。

  路向宇:在DevSecOps初期开展开源软件安全治理具有高价值

  中国人寿研发中心安全测试负责人路向宇发表了“敏捷开发中的开源安全治理”的主题演讲。路向宇表示,在DevSecOps初期开展工作开源软件安全治理具备很大的价值,主要体现在三个方面:第一,它对DevOps成熟度依赖比较低;第二,开源检测误报效率高,效率高,很容易实现自动化;第三,开源的漏洞有较高的危险确定性;第四,开源软件安全治理的投入产出比是比较高的。

  此外,路向宇还介绍了实现开源治理的条件以及在实现开源治理的实践中可能会遇到一些问题。路向宇表示,当前的开源软件治理投入比较明确,效果具体,整体的整改风险非常可控。他还认为,检测能力是基础的建立开源资产安全管理是更加重要,不仅能快速提供各层面所需要的数据,而且能够在这个基础上建立漏洞的预警和应急响应机制。

  孙勇:网络安全框架下,银行业的风险管控开始由被动到主动转变

  随着《网络安全法》的正式颁布,金融系统的安全问题也成为行业内关注的重点。在本次论坛上,农行研发中心安全部主任工程师孙勇发表了“从被动到主动应用安全体系建设的实践”的主题演讲,重点阐述金融系统的安全体系建设问题。

  孙勇表示,随着国家对于网络安全要求的提高,银行业的信息安全和网络安全发展也面临着更大的责任与挑战。面对这些挑战,从被动到主动,应用自防护成为了银行业防护的趋势。同时,孙勇还给出了一些关于加强风险管控的建议,包括:新技术研究需要产学研、包括工业界一起合作来做相关安全产品的研发;教学人才培养需要甲方乙方包括学院派、工业派一起合作等等。

  刘凯铃:超四成企业已引入DevOps

  在本次论坛上,中国信息通信研究院云大所云计算部研究员刘凯玲对《2020年中国DevOps现状调查报告》作了详细解读。

  中国信息通信研究院云计算与大数据研究所将DevOps的成熟度划分了五个级别,分别是初始级、基础级、全面级、优秀级和卓越级。调查结果显示,企业DevOps的成熟度正逐步向全面级发展,和2019年调查结果相比,2020年处于全面级的企业占比已经增长了近一成。

  调查还显示,有超四成的企业已经引入了DevOps,具体的占比是41.29%,在安全团队方面,有四成以上的企业已经具有了不同成熟度的专业的安全团队,跟去年相比增长显著。

  子芽:软件供应链安全的威胁迫于眉睫

  论坛上,悬镜安全负责人子芽发表了“新一代灰盒安全测试技术实践分享”的主题演讲。子芽首先分享了软件工程安全的两个共识:第一个是系统一定有未被发现的安全漏洞;第二,现在应用都是组装的,而非纯自然。子芽表示,软件供应链安全的威胁迫于眉睫。

  子芽表示,悬镜有一套自己DevSecOps威胁管理体系,核心是从威胁建模、风险发现、威胁模拟、检测响应四个维度。

  刘永强:开源不等于安全

  接下来,JFrog中国解决方案架构师刘永强做了“企业级DevSecOps开源治理方案演进之路”的主题演讲。刘永强表示,开源不等于安全。

  那么传统公司如何探测或者管理漏洞呢?刘永强表示,企业在应对开源治理挑战的时候,通常会是这样一个思路:第一个做统一入口;第二个是需要识别组件依赖;第三个是查找漏洞数据源;第四个是需要不断地在全生命周期做安全治理。刘永强强调,这个思路有一个原则是安全左移,尽可能把安全引入往开发侧内嵌。前三个是基础要点,在做生命周期安全治理之前,前三个一定要做。

  武鑫:漏洞资产管理也包含在网络安全大框架里

  论坛最后,奇安信网络安全部产品安全负责人武鑫做了“从漏洞的视角看敏捷安全”的发言。武鑫介绍,从漏洞的视角来看敏捷安全,文化、流程和技术三个方面很重要,尤其在漏洞方面能得到深刻的体现。

  武鑫表示,不管是SDL,或者是DevSecOps,目的都是为了让产品更加安全。此外,武鑫还总结了在修复漏洞实践中遇到的问题,并分享了关于漏洞修复的管理原则和方法。

  武鑫表示,第一点通过建立制度、策略和线上漏洞运营的系统,加强漏洞修复能力;第二点是漏洞分级,抓大放小,并进行一个动态的维护。第三点通过自研平台进行漏洞扫描,一方面降低漏洞的数量,另外一方面加强自己的漏洞发现能力。最后武鑫总结到,不管是应用安全能力,还是漏洞资产管理,都是包含在在大框架里的。

  北京网络安全大会(BCS)由奇安信集团主办,以“全球网络安全 倾听北京声音”为立意,着眼数字化、网络化、智能化的时代背景,充分发挥北京科技之都、创新之都的资源优势,聚焦当前与未来网络安全产业发展、国际合作、资本创投、前沿技术、新场景应用和人才培养,搭建政、产、企、资、学、用等多方参与的世界级交流合作平台。大会为期10天,精彩还在继续!


“财经新闻网”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与

我们联系删除或处理,稿件内容仅为传递更多信息之目的,并不代表认同其内容数据或观点的真实性。

  • 声音提醒
  • 60秒后自动更新
  • 福布斯亿万富豪榜公布:贝索斯再夺冠,马化腾居于第20位!

    08:43
  • 中国联通的5G信号首次出现在两会上。记者3月1日上午在北京梅地亚两会新闻中心的现场看到,中国联通的5G信号已经实现了在新闻中心的全覆盖。

    09:53
  • 2018年全年跑路、失联、主办券商风险提示……这样的“黑天鹅”今年以来在新三板频频发生。据不完全统计,今年以来已有近20家新三板公司董事长失联。

    19:15
  • 12月12日,双十二来临之际,《南方周末》的一篇报道就解开了不少人的困惑,南极人品牌所有商品均不自己生产,品牌的拥有方南极电商只是品牌的运营方和吊牌的出售者。网上的南极人店铺有多少呢?目前南极人旗下全品牌授权经销商有846家,合作经销商3427家,授权店铺4442家。从2018年年初至今,南极人已经14次被国家质监部门及地方消费者协会拉入不合格产品黑名单。这样的滥授权,会不会毁掉南极人这个品牌?

    01:44
  • 【人大教授:社保新规若严格执行 企业负担将增长50% 】人大财政金融学院副教授马光荣表示,如果现有参保职工严格按照实际工资作为缴费基数,同时法定缴费率严格按照28%执行的话,整个企业部门的社保缴费负担上升50%左右,企业的用工成本会上升7.5%,企业的利润会下降8.2%。短期之内,因为工资有黏性,所以社保费负担的上升主要由企业承担;但是中长期看的话,用工成本上升导致部分制造业企业可能会出现外迁,工人工资会下降。

    08:00
  • 新华社援引专家分析认为,8月份菜价、肉价波动,主要是季节性因素所致,后期食品价格、服务价格、工业消费品价格仍将保持温和水平,通胀压力没有明显增加。

    08:00
  • 【洪磊:税收制度是私募基金健康发展的保障】中国证券投资基金业协会会长洪磊表示,税收制度是私募基金健康发展的保障。应当坚持税收法定原则,遵循《基金法》确立的基金属性和税收法律确定的规则,全面审视和调整基金行业税收政策。在私募基金税收征管过程中,应当明确区分作为管理人的合伙企业和作为基金产品的合伙企业,依合伙企业不同收入的性质,准确适用税种和税率。(中证报)

    08:00
  • 欧盟首席英国退欧事务谈判官Barnier:在未来6到8周达成脱欧协议是“现实的“。

    08:00
  • 欧盟首席英国退欧事务谈判官Barnier:我们有义务控制外部边界的商品流动。

    08:00
  • 美银美林:若在美国制造,iPhone可能贵20%。

    08:00
  • 利比亚国家石油公司总裁Sanalla称,国家石油公司总部遇袭事件对石油生产没有影响。

    08:00
  • 【腾讯投资部否认投资子弹短信:并无此事】针对“投资子弹短信”一事,腾讯投资并购部回应,表示并无此事。罗永浩 之前在微博提到,子弹短信上线第二天腾讯投资部就打去电话,看看投资的情况。罗永浩称,子弹短信不足以挑战微信,但能拿10%-20%份额,做到几十亿甚至上百亿估值。

    08:00
  • 【部分长租公寓存在装修污染问题 亟待出台统一规范】近日,部分品牌长租公寓被曝出甲醛等空气污染物超标,有用户直指装修污染是对住户健康造成威胁的“元凶”。记者调查发现,部分长租公寓在光鲜的外表下,却存在着不容忽视的装修污染问题,亟待行业内部出台统一规范。(新华社)

    08:00
  • Fred’s(FRED)股价周一飙升,目前涨超50%;此前,该公司宣布以1.65亿美元的价格将一些药房档案出售给Walgreens。

    08:00
  • Fred’s(FRED)股价周一飙升,目前涨超50%。

    08:00