2021年7月21日，中國首屆DevSecOps敏捷安全大會（DSO 2021）在北京成功舉辦，大會以“安全從供應鏈開始”為主題，寓意安全基礎決定上層建筑，在云原生環(huán)境下為軟件供應鏈注入覆蓋全流程的安全屬性，從源頭做風險治理。DSO 2021由中國信息通信研究院指導，DevSecOps敏捷安全領導者懸鏡安全主辦，騰訊安全協(xié)辦，現(xiàn)場逾300位權威學者、安全專家、生態(tài)伙伴、技術精英齊聚一堂，近20個議題，直擊軟件供應鏈安全復雜場景中涉及的管理、流程、技術、工具等問題，為安全產(chǎn)業(yè)發(fā)展提供創(chuàng)新源動力。

[[413190]]

圖：中國信通院云大所副所長栗蔚女士發(fā)表歡迎致辭

中國信通院云大所副所長栗蔚女士蒞臨首屆DevSecOps敏捷安全大會并發(fā)表歡迎致辭，她表示：“經(jīng)過多年的發(fā)展，DevSecOps貫穿全流程的研發(fā)運營安全理念已經(jīng)深入人心，得到了廣泛的認可。安全左移，從軟件需求設計早期便考慮安全，從源頭處提升安全能力，已被證明可以有效地、低成本地解決大量現(xiàn)存的安全問題，全面提升應用服務的整體安全能力，助推數(shù)字經(jīng)濟的整體發(fā)展。DevSecOps敏捷安全大會的舉辦，為聚集行業(yè)智慧、為創(chuàng)新思維交流提供了非常好的平臺。” 栗蔚女士在致辭當中對DevSecOps發(fā)展趨勢予以充分的數(shù)據(jù)說明，側重分享了DevSecOps研發(fā)運營發(fā)展當前所呈現(xiàn)的特點，重點強調DevSecOps產(chǎn)業(yè)市場的發(fā)展?jié)摿薮蟆?o:p>

圖：中國工程院院士沈昌祥先生發(fā)表主題演講

中國工程院院士沈昌祥先生也做客DSO 2021大會現(xiàn)場，并從國家政策和網(wǎng)絡環(huán)境的宏觀角度，與現(xiàn)場觀眾分享了如何打造安全可信軟件產(chǎn)業(yè)新生態(tài)的探索。在沈院士的演講中，詳細介紹了主動免疫可信計算“安全可信體系框架”的六大要素，強調安全可信計算實施運算同時進行免疫的安全防護，使存在的缺陷不被攻擊者利用，來達到預期的計算目標。按國家網(wǎng)絡安全法律、戰(zhàn)略及等保制度構建主動免疫防護的新體系，用中國自主創(chuàng)新安全可信體系解決受制于人的問題。

圖：懸鏡安全創(chuàng)始人兼CEO子芽先生發(fā)表歡迎致辭并做技術分享

DSO 2021主辦方懸鏡安全創(chuàng)始人兼CEO子芽先生向現(xiàn)場與會者做歡迎致辭，并表示：“對于大會的創(chuàng)立初心，我們希望在敏捷安全的實踐過程中，搭建一個匯集行業(yè)用戶、產(chǎn)業(yè)智庫、安全媒體及技術廠商的DevSecOps生態(tài)交流平臺，能夠讓大家齊鳴、共舞。”在技術分享的重點環(huán)節(jié)，他也就DevSecOps敏捷安全技術的未來技術演進趨勢做了深度分享，并明確提出，上線前異常行為代碼的檢測、基于威脅的安全測試及RASP自適應威脅免疫技術，會成為接下來業(yè)界在現(xiàn)代應用風險治理方面的一個新方向。

圖：《軟件供應鏈安全白皮書（2021）》發(fā)布

作為本次大會的重磅環(huán)節(jié)，由中國信通院與懸鏡安全聯(lián)合編撰的《軟件供應鏈安全白皮書（2021）》于會議現(xiàn)場發(fā)布，中國信通院云大所副所長栗蔚女士與懸鏡安全創(chuàng)始人兼CEO子芽先生共同啟動白皮書發(fā)布儀式。

圖：懸鏡安全首席運營官董毅先生對《軟件供應鏈安全白皮書（2021）》進行解讀

懸鏡安全首席運營官董毅先生對白皮書進行解讀，著重闡述了軟件供應鏈的定義、生態(tài)，以及目前存在的主要攻擊類型。董毅先生以懸鏡安全社群調研數(shù)據(jù)為例，展示了當前組織中安全人員修復已知漏洞所耗費的時間成本，重點強調了在缺陷管理中SBOM（軟件物料清單）的重要性，以及在白皮書中首次公開的軟件供應商評估模型與管理流程。

圖：中國信通院云大所云計算部副主任郭雪女士解讀IAST標準

作為DSO 2021大會出品人之一，中國信通院云大所云計算部副主任郭雪女士于現(xiàn)場進行了首次公開的《交互式應用程序安全測試工具能力要求》（IAST）標準解讀。她表示，信通院之所以會制定IAST的標準，原因在于業(yè)內對研發(fā)安全的認知尚處于初級階段，而通過數(shù)據(jù)顯示，在設計和研發(fā)階段關注安全問題，使安全左移，能有效節(jié)約成本高達上百倍。IAST在整個安全工具的標準中處于重要位置，相較于較早的SAST及DAST工具有明顯優(yōu)勢。郭雪女士于會上對所制定IAST工具能力的具體要求進行了詳細的深度解讀。

圖：圓桌論壇，嘉賓從左至右依次為：

主持人——北京賽博英杰科技有限公司創(chuàng)始人、正奇學院創(chuàng)辦人、業(yè)內資深安全專家譚曉生先生；

嘉賓——騰訊科技安全產(chǎn)品規(guī)劃總監(jiān)程文杰先生；華為技術有限公司華為云安全工程專家孫志敏先生；青藤云安全技術副總裁張嵩先生；懸鏡安全首席技術官寧戈先生

在圓桌討論環(huán)節(jié)，主持人與四位安全領域專家共同圍繞“快時代下的軟件供應鏈安全”主題進行觀點分享。主持人北京賽博英杰科技有限公司創(chuàng)始人、正奇學院創(chuàng)辦人，業(yè)內資深安全專家譚曉生先生，與騰訊科技安全產(chǎn)品規(guī)劃總監(jiān)程文杰先生、華為技術有限公司華為云安全工程專家孫志敏先生、青藤云安全技術副總裁張嵩先生，以及懸鏡安全首席技術官寧戈先生四位嘉賓，就當前軟件快速迭代與數(shù)字化轉型大背景下的供應鏈安全，共同探討了各位嘉賓所在企業(yè)的安全風險治理最佳實踐經(jīng)驗、組織內安全意識培訓與安全項目推動方式、云原生環(huán)境下的軟件供應鏈安全保障工作變化、容器與傳統(tǒng)虛機相比安全能力要求的不同等問題。

除上述議題外，中國電信研究院資深安全專家游耀東先生、青藤云安全聯(lián)合創(chuàng)始人兼產(chǎn)品副總裁胡俊先生、匯豐科技中國證券服務科技部DevSecOps負責人周紀海先生、騰訊科恩實驗室高級安全研發(fā)工程師張文凱先生、平安壹錢包DevSecOps負責人汪永輝先生、華泰證券應用與業(yè)務安全團隊負責人莊飛先生、騰訊安全平臺部高級安全研究員范傳輝先生、北京中測安華科技有限公司安全運營部總監(jiān)姚原崗博士，及騰訊云CODING高級產(chǎn)品經(jīng)理俞典女士，分別在本屆大會上就DevSecOps和軟件供應鏈安全的體系建設與實踐經(jīng)驗做了精彩分享，合力為相關安全從業(yè)者打造了一場以敏捷安全為主題的技術盛宴。

為期一天的首屆DevSecOps敏捷安全大會圓滿落幕，作為大會出品人，懸鏡安全創(chuàng)始人兼CEO子芽先生為本屆大會送上寄語：“上善若水，水利萬物而不爭。希望從DSO 2021起，我們能攜手行業(yè)創(chuàng)新力量，持續(xù)共建一個普惠的DevSecOps生態(tài)。”