懸鏡安全、OpenSCA創(chuàng)始人子芽10年沉淀首次公開

10位學(xué)術(shù)界和企業(yè)界權(quán)威安全專家聯(lián)袂推薦 

內(nèi)容簡介：這是一本體系化講解DevSecOps敏捷安全的實戰(zhàn)性著作，為企業(yè)應(yīng)對軟件開發(fā)方式敏態(tài)化與軟件供應(yīng)鏈開源化帶來的安全挑戰(zhàn)提供了解決之道，它能有效指導(dǎo)企業(yè)快速將安全能力完整嵌入整個DevOps體系，在保證業(yè)務(wù)研發(fā)效能的同時實現(xiàn)敏捷安全內(nèi)生和自成長。

7月26日下午，由懸鏡安全主辦、OpenSCA社區(qū)協(xié)辦的“又見DSO 2022，子芽《DevSecOps敏捷安全》新書發(fā)布會”在北大博雅國際酒店成功舉行。網(wǎng)絡(luò)安全圈的一眾博雅之士相聚一堂，以書為媒，與新書作者即懸鏡安全創(chuàng)始人兼CEO、OpenSCA社區(qū)創(chuàng)始人子芽共話行業(yè)新技術(shù)、新趨勢。

本次發(fā)布會由新書出版單位機(jī)械工業(yè)出版社資深主編楊福川老師親自主持。中國信息通信研究院云計算與大數(shù)據(jù)研究所開源和軟件安全部副主任郭雪、中興通訊開源合規(guī)與安全治理總監(jiān)項曙明、平安壹錢包安全DevSecOps運營負(fù)責(zé)人汪永輝作為嘉賓出席。中國信息安全、InfoQ、安全牛、網(wǎng)絡(luò)安全與數(shù)據(jù)治理、網(wǎng)絡(luò)安全和信息化、嘶吼新媒體、雷鋒網(wǎng)、淺黑科技、億歐網(wǎng)等二十余家主流媒體到場參加、踴躍提問并聚焦發(fā)布會內(nèi)容進(jìn)行了深度報道。 

 點擊觀看???又見DSO 2022”子芽《DevSecOps敏捷安全》新書發(fā)布會集錦??

十年沉淀，厚積薄發(fā)

子芽發(fā)表“DevSecOps敏捷安全體系淺談”主題演講

發(fā)布會伊始，北京大學(xué)計算機(jī)學(xué)院教授/網(wǎng)絡(luò)信息安全實驗室主任陳鐘、正奇學(xué)苑及璟泰創(chuàng)投創(chuàng)始人譚曉生、中國電信研究院安全技術(shù)研究所所長何國鋒、國網(wǎng)湖南電力網(wǎng)絡(luò)安全技術(shù)首席工程師田錚、CODING創(chuàng)始人&CEO張海龍、道客網(wǎng)絡(luò)首席安全官張嵩、看雪學(xué)苑創(chuàng)始人段鋼、開源中國&Gitee創(chuàng)始人兼CTO紅薯等諸多大咖通過視頻或蒞臨現(xiàn)場的方式再次推薦了新書《DevSecOps敏捷安全》并對本次活動送上誠摯祝福。

隨后，子芽在主題為“DevSecOps敏捷安全體系淺談”的演講中，全面梳理了云原生時代面臨的數(shù)字化安全風(fēng)險與挑戰(zhàn)并重點講解了其新書的部分核心內(nèi)容。

子芽認(rèn)為，數(shù)字經(jīng)濟(jì)時代，軟件定義萬物并已經(jīng)成為保障社會正常運轉(zhuǎn)的基本組件，然而現(xiàn)代軟件飽受開源成分缺陷、Web通用漏洞、業(yè)務(wù)邏輯漏洞、異常行為代碼等潛在安全風(fēng)險面的威脅。而且隨著新制品（開源主導(dǎo)）、新發(fā)布（DevOps研運一體化）、新技術(shù)（微服務(wù)架構(gòu)）、新環(huán)境（容器化）的出現(xiàn)，企業(yè)組織競相擁抱業(yè)務(wù)上云、組織上云的云原生時代，使得數(shù)字化應(yīng)用風(fēng)險面、軟件供應(yīng)鏈安全范圍有了較大的外延。 

子芽主題演講現(xiàn)場

子芽指出，在新書《DevSecOps敏捷安全》中，由懸鏡安全原創(chuàng)并首次提出的新一代DevSecOps敏捷安全體系，正是防范和應(yīng)對現(xiàn)代軟件全生命周期風(fēng)險最為合適的實戰(zhàn)抓手。通過在金融、能源、泛互聯(lián)網(wǎng)等行業(yè)的廣泛實踐，該體系被證明不僅適用于DevOps敏態(tài)開發(fā)環(huán)境，而且能應(yīng)用于軟件供應(yīng)鏈安全和云原生安全場景。子芽在演講中詳細(xì)介紹了DevSecOps敏捷安全體系的核心內(nèi)涵，并從文化、流程、技術(shù)、度量這四個維度梳理了整個體系框架。

演講至最后，子芽對DevSecOps敏捷安全技術(shù)演進(jìn)趨勢進(jìn)行了前瞻性的解讀，并分享了懸鏡在該領(lǐng)域的前沿研究成果——基于單探針的代碼疫苗技術(shù)和DevSecOps敏捷安全技術(shù)金字塔V2.0。

??懸鏡安全創(chuàng)始人&CEO子芽（左）與機(jī)械工業(yè)出版社資深主編楊福川（右）共同為《DevSecOps敏捷安全》新書揭幕??

產(chǎn)學(xué)研用，又見DSO 2022

子芽《DevSecOps敏捷安全》新書專題討論

現(xiàn)場嘉賓基于子芽新書和主題演講內(nèi)容，與子芽一道就DevSecOps相關(guān)熱點話題進(jìn)行了圓桌討論并分享了各自的行業(yè)洞察與實踐成果。

在中國信通院云計算與大數(shù)據(jù)研究所開源和軟件安全部副主任郭雪看來，DevSecOps近年來之所以受到廣泛關(guān)注，在于其“安全左移”的實踐思想完美契合云原生安全理念，即將安全和技術(shù)架構(gòu)體系進(jìn)行深度融合。她還特別提到，子芽創(chuàng)作的這本《DevSecOps敏捷安全》對整個產(chǎn)業(yè)的研究和標(biāo)準(zhǔn)化工作起到了十分積極的推動作用，既指引了產(chǎn)業(yè)發(fā)展方向，又能切實指導(dǎo)企業(yè)高效落地實踐DevSecOps。

身為中興通訊開源合規(guī)與安全治理總監(jiān)，項曙明重點談到了DevSecOps在軟件供應(yīng)鏈安全領(lǐng)域不可或缺的作用。他表示，在業(yè)務(wù)快速交付和產(chǎn)品快速迭代的前提下，如何對軟件的開源成分進(jìn)行溯源、如何通過治理使原生的開源組件變得安全可信、如何確保開源軟件的安全合規(guī)，是企業(yè)乃至國家面臨的挑戰(zhàn)。而DevSecOps對解決軟件供應(yīng)鏈安全問題能起到極大的作用，因此他認(rèn)為子芽《DevSecOps敏捷安全》一書中的相關(guān)內(nèi)容能給企業(yè)帶來啟發(fā)。

汪永輝作為平安壹錢包安全DevSecOps運營負(fù)責(zé)人，在落地實踐方面有豐富的經(jīng)驗。他認(rèn)為，一次里程碑事件能成為在企業(yè)內(nèi)部推廣DevSecOps的契機(jī)，以平安壹錢包為例，IAST技術(shù)的成功引入，使安全部門被認(rèn)可，進(jìn)而營造起一種安全文化氛圍，之后的流程和工具鏈的搭建乃至DevSecOps體系的建立就變得順理成章了。當(dāng)然在此過程中，不可避免會遇到技術(shù)上的阻力，這時便可以參考《DevSecOps敏捷安全》這樣專業(yè)的著作或依靠懸鏡這樣優(yōu)質(zhì)的供應(yīng)商。

子芽《DevSecOps敏捷安全》新書專題討論現(xiàn)場

聚焦DevSecOps敏捷安全

子芽答記者問環(huán)節(jié)精彩回顧

安全牛：您創(chuàng)作這本書的初衷是什么？

子芽：創(chuàng)作的初衷也寫在本書的前言中。我始終記得上學(xué)時導(dǎo)師的寄語：“如果把人類現(xiàn)有的認(rèn)知實踐比作一個圈，那么當(dāng)博士畢業(yè)時，我們的研究實踐成果至少可以帶領(lǐng)人類從這個圈向外再踏出一步?！蔽液蛻溢R團(tuán)隊多年來一直堅持這樣的創(chuàng)業(yè)初心，憑借多年技術(shù)沉淀，在DevSecOps賽道已達(dá)到國際先進(jìn)水平，有能力代表中國在該領(lǐng)域的技術(shù)力量向世界發(fā)出最強(qiáng)聲。所以創(chuàng)作和出版這本《DevSecOps敏捷安全》，既是為了分享懸鏡多年沉淀的技術(shù)實踐成果，也是有感于用戶才是懸鏡最好的產(chǎn)品經(jīng)理，希望將一些領(lǐng)域或者場景下的最佳解決方案反饋給更多行業(yè)的用戶，便于他們學(xué)習(xí)和參考。 

安全牛媒體分析師徐曉麗

中國信息安全：這本書適合哪些人群閱讀，對他們有什么具體幫助，您能否提供一些閱讀這本書的指導(dǎo)方法？

子芽：DevSecOps要求安全共擔(dān)，即安全跟參與數(shù)字化應(yīng)用任一相關(guān)環(huán)節(jié)的人都有關(guān)系，所以我希望這本書能出圈，幫助到更多人。具體而言，企業(yè)內(nèi)由上而下，從CEO、CTO、CIO等核心高管到安全負(fù)責(zé)人再到技術(shù)人員，學(xué)校里的老師和學(xué)生，都是其讀者受眾。這本書共分為五個部分，由淺入深，從0到1再到進(jìn)階，能不同程度上對上述人群賦能。

中國信息安全記者邱辰杰

嘶吼新媒體：剛才注意到有嘉賓提及這本書在一定程度上填補(bǔ)了國內(nèi)外相關(guān)領(lǐng)域的空白，您對此作何評價？

子芽：我在創(chuàng)作的過程中也一直在思考這本書能為業(yè)界乃至整個社會帶來的影響。我認(rèn)為有三點：第一，這本書第一次在全球范圍系統(tǒng)化構(gòu)筑和梳理了一套完整的能實戰(zhàn)落地的安全框架——DevSecOps敏捷安全體系；第二，硬科技的創(chuàng)新是推動社會進(jìn)步的關(guān)鍵驅(qū)動力，同時，科技的普惠化也尤為重要，而這本書正是將懸鏡多年來沉淀的原創(chuàng)前沿技術(shù)和創(chuàng)新理論認(rèn)知體系化分享出來；第三，這本書在實戰(zhàn)層面不僅聚焦國內(nèi)金融、泛互聯(lián)網(wǎng)等行業(yè)的最佳實踐，還關(guān)注美國國防部、Netflix、Salesforce等國際上的最佳實踐。

嘶吼新媒體記者單瑞映

網(wǎng)絡(luò)安全和信息化：DevSecOps敏捷安全體系的建設(shè)涉及文化、流程、技術(shù)、度量，您覺得企業(yè)在具體實施的時候，從哪一個點切入比較高效？

子芽：DevSecOps敏捷安全有兩大理念，一是以人為本，技術(shù)驅(qū)動，二是同步規(guī)劃、同步構(gòu)建、同步運營。因而，自動化的技術(shù)支撐包括敏捷安全工具鏈以及配套的全流程平臺是落地實踐過程中比較關(guān)鍵的；此外還有關(guān)鍵一點，在文化層面，要獲得高層支持，達(dá)成安全責(zé)任共擔(dān)的意識。

網(wǎng)絡(luò)安全和信息化記者趙志遠(yuǎn)

淺黑科技：安全廠商、企業(yè)用戶該如何看待DevSecOps敏捷安全的新技術(shù)、新趨勢，例如代碼疫苗技術(shù)？

子芽：企業(yè)在進(jìn)行安全建設(shè)的時候，沒有最好只有最匹配。DevSecOps的落地實踐是分階段且柔和的，即所謂潤物細(xì)無聲。對于新技術(shù)，企業(yè)需要考慮自身安全建設(shè)不同階段的需求，其是否能解決實際問題，以及該技術(shù)在市場應(yīng)用推廣的節(jié)奏和商業(yè)模式。懸鏡的代碼疫苗技術(shù)通過單探針，在安全左移階段，利用IAST精準(zhǔn)覆蓋95%以上中高危漏洞，有效防止應(yīng)用帶病上線；在上線后常態(tài)化運營階段，利用RASP為應(yīng)用提供內(nèi)生主動安全免疫能力。經(jīng)過幾年的沉淀和打磨，探針在穩(wěn)定性、語言的兼容性、運行時性能損耗等方面均滿足企業(yè)用戶的嚴(yán)苛要求。

淺黑科技創(chuàng)始人史中

InfoQ：To B行業(yè)現(xiàn)在的增長模式是產(chǎn)品驅(qū)動，作為DevSecOps領(lǐng)導(dǎo)廠商的創(chuàng)始人，您肯定也肩負(fù)著推動行業(yè)發(fā)展的社會責(zé)任，那么如何在推動行業(yè)發(fā)展的同時兼顧企業(yè)戰(zhàn)略布局？

子芽：創(chuàng)業(yè)過程挫折不斷，支撐懸鏡最終爬起來的根本力量在于對技術(shù)和事業(yè)的深度熱愛。所以在我看來，推動行業(yè)發(fā)展和引領(lǐng)懸鏡成為中國軟件供應(yīng)鏈安全治理與運營的中堅力量是并行不悖的。

InfoQ總編輯王一鵬

網(wǎng)絡(luò)安全與數(shù)據(jù)治理：從“未名湖畔”逐夢到“懸鏡安全”筑夢，從“動心起念”到“知行合一”，子芽一直在踐行作為網(wǎng)絡(luò)安全科研技術(shù)從業(yè)人員的民族使命與擔(dān)當(dāng)，那么，可否分享一下在經(jīng)營企業(yè)或者撰寫《DevSecOps敏捷安全》這本書過程中，給您帶來最大的收獲或者啟發(fā)？

子芽：北大的文化以及我深造時所處實驗室的文化都教會了我心要自由。心要自由便敢于去突破，這賦予了我創(chuàng)業(yè)的勇氣。在創(chuàng)業(yè)的過程中，我和懸鏡團(tuán)隊洞察到行業(yè)乃至國家對軟件供應(yīng)鏈和云原生中敏捷安全的需求，并通過努力走在了該領(lǐng)域的前沿，便順勢而為將沉淀的經(jīng)驗成果通過這本書分享給所有人。

我認(rèn)為，作為安全廠商，在快速發(fā)展過程中要聚焦于自身核心領(lǐng)域。以懸鏡為例，在創(chuàng)業(yè)過程便中深度聚焦4個“一”的核心能力：一個運行時單探針、一項代碼疫苗技術(shù)、一套積極防御框架、一套敏捷安全體系。此外，企業(yè)發(fā)展需要聯(lián)動緊密的上下游生態(tài)。懸鏡正在做的一些嘗試，比如和DevOps平臺、中間件廠商、咨詢機(jī)構(gòu)進(jìn)行深度的合作，初衷也是為用戶提供更好的產(chǎn)品和服務(wù)體驗。

網(wǎng)絡(luò)安全與數(shù)據(jù)治理主任于寅虎

贈人玫瑰，手留余香

子芽新書簽贈儀式環(huán)節(jié)回顧

活動臨近尾聲，子芽簽名贈書給現(xiàn)場的每一位嘉賓和媒體朋友，并與大家合影留念。

子芽新書簽贈儀式現(xiàn)場 

活動結(jié)束之后，有媒體坦言從子芽的這次新書發(fā)布會收獲了行業(yè)前沿研究成果，加深了他們對DevSecOps這一新興賽道的認(rèn)知，相信這本新書能幫助推動DevSecOps敏捷安全成熟生態(tài)圈的建立。 

子芽與現(xiàn)場媒體（部分）合影留念 

《DevSecOps敏捷安全》作者簡介：子芽，懸鏡安全創(chuàng)始人兼CEO，OpenSCA開源社區(qū)創(chuàng)始人，中國信通院軟件供應(yīng)鏈安全社區(qū)首席安全專家，DSO敏捷安全大會出品人，ISC十周年代表性人物，擁有10年以上前沿安全技術(shù)研究實踐經(jīng)驗，具有國際視野和工程綜合創(chuàng)新能力的高端科技領(lǐng)軍人才。長期從事AI深度學(xué)習(xí)算法在持續(xù)威脅評估領(lǐng)域的研究，擁有多項原創(chuàng)發(fā)明專利授權(quán)，曾承擔(dān)國家級重大網(wǎng)絡(luò)安全項目和科研項目，首創(chuàng)的“DevSecOps智適應(yīng)威脅管理體系”已演進(jìn)至第三代，在產(chǎn)業(yè)界影響頗深。