您的位置:首页 > 互联网

BCS2020举办DevSecOps论坛,业界领袖共话敏捷开发和运维

发布时间:2022-07-15 05:16:11  来源:互联网     背景:

  在“安全左移”的趋势下,DevSecOps(安全开发运维一体化)已经成为企业数字化转型过程中应用安全的基础保障。8月12日,作为北京网络安全大会(BCS2020) 重磅环节,由中国信息通信研究院主办、“网安一哥”奇安信集团协办的DevSecOps论坛如期召开。众多行业领导、技术专家等就内生安全在敏捷开发与运维方面的落地进行了深入交流和探讨。论坛还对《中国DevOps现状调查报告(2020年)》进行了深度解读。

  本次论坛汇聚了研究机构、央企、网络安全等各领域的多位重磅嘉宾,其中包括中国信息通信研究院云大所所长何宝宏、中国信息通信研究院云大所云计算部副主任牛晓玲、中国人寿研发中心安全测试负责人路向宇、农行研发中心安全部主任工程师孙勇、中国信息通信研究院云大所云计算部研究员刘凯铃、悬镜安全CEO子芽、JFrog 中国解决方案架构师刘永强、奇安信网络安全部产品安全负责人武鑫等。

  何宝宏:DevSecOps将成为行业的重要发展方向

  中国信息通信研究院云大所所长何宝宏为大会进行了主题演讲。他表示,随着软件行业发展的迅猛,软件迭代速度不断加快,云计算等新技术日趋成熟,再加之企业上云现在已经成为一种必然趋势,DevSecOps正在逐步取代传统的开发模式。而基于我国对网络安全的重视,也让DevSecOps成为重要的发展方向。

  何宝宏表示,中国信息通信院联合国内互联网通信行业机构和社区顶级专家,共同编制了DevSecOps能力成熟度模型第六部分安全及风险管理,对DevSecOps全链中的开发,交付,运营等过程中的安全风险控制进行了规范,并提供了有效的引导。

  牛晓玲:DevSecOps是在在持续交互中增加安全性手段

  中国信息通信研究院云大所云计算部副主任牛晓玲发表了名为“DevSecOps的标准解读”的主题演讲。牛晓玲表示,DevSecOps就是把一些安全性的框架整合到整个软件开发流程当中,研发、运营、测试安全部门之间要相互协作,能够实现一些数据的可用性和安全性,包括整个研发流程的安全性。

  随后,牛晓玲表示,DevSecOps是一种企业安全文化的渗透,同时它也是制度流程和工具的一个结合体。它是将这种安全性和合规性,纳入软件全生命周期的方法,同时也是由学习和使劲驱动的全公司级的战略。

  路向宇:在DevSecOps初期开展开源软件安全治理具有高价值

  中国人寿研发中心安全测试负责人路向宇发表了“敏捷开发中的开源安全治理”的主题演讲。路向宇表示,在DevSecOps初期开展工作开源软件安全治理具备很大的价值,主要体现在三个方面:第一,它对DevOps成熟度依赖比较低;第二,开源检测误报效率高,效率高,很容易实现自动化;第三,开源的漏洞有较高的危险确定性;第四,开源软件安全治理的投入产出比是比较高的。

  此外,路向宇还介绍了实现开源治理的条件以及在实现开源治理的实践中可能会遇到一些问题。路向宇表示,当前的开源软件治理投入比较明确,效果具体,整体的整改风险非常可控。他还认为,检测能力是基础的建立开源资产安全管理是更加重要,不仅能快速提供各层面所需要的数据,而且能够在这个基础上建立漏洞的预警和应急响应机制。

  孙勇:网络安全框架下,银行业的风险管控开始由被动到主动转变

  随着《网络安全法》的正式颁布,金融系统的安全问题也成为行业内关注的重点。在本次论坛上,农行研发中心安全部主任工程师孙勇发表了“从被动到主动应用安全体系建设的实践”的主题演讲,重点阐述金融系统的安全体系建设问题。

  孙勇表示,随着国家对于网络安全要求的提高,银行业的信息安全和网络安全发展也面临着更大的责任与挑战。面对这些挑战,从被动到主动,应用自防护成为了银行业防护的趋势。同时,孙勇还给出了一些关于加强风险管控的建议,包括:新技术研究需要产学研、包括工业界一起合作来做相关安全产品的研发;教学人才培养需要甲方乙方包括学院派、工业派一起合作等等。

  刘凯铃:超四成企业已引入DevOps

  在本次论坛上,中国信息通信研究院云大所云计算部研究员刘凯玲对《2020年中国DevOps现状调查报告》作了详细解读。

  中国信息通信研究院云计算与大数据研究所将DevOps的成熟度划分了五个级别,分别是初始级、基础级、全面级、优秀级和卓越级。调查结果显示,企业DevOps的成熟度正逐步向全面级发展,和2019年调查结果相比,2020年处于全面级的企业占比已经增长了近一成。

  调查还显示,有超四成的企业已经引入了DevOps,具体的占比是41.29%,在安全团队方面,有四成以上的企业已经具有了不同成熟度的专业的安全团队,跟去年相比增长显著。

  子芽:软件供应链安全的威胁迫于眉睫

  论坛上,悬镜安全负责人子芽发表了“新一代灰盒安全测试技术实践分享”的主题演讲。子芽首先分享了软件工程安全的两个共识:第一个是系统一定有未被发现的安全漏洞;第二,现在应用都是组装的,而非纯自然。子芽表示,软件供应链安全的威胁迫于眉睫。

  子芽表示,悬镜有一套自己DevSecOps威胁管理体系,核心是从威胁建模、风险发现、威胁模拟、检测响应四个维度。

  刘永强:开源不等于安全

  接下来,JFrog中国解决方案架构师刘永强做了“企业级DevSecOps开源治理方案演进之路”的主题演讲。刘永强表示,开源不等于安全。

  那么传统公司如何探测或者管理漏洞呢?刘永强表示,企业在应对开源治理挑战的时候,通常会是这样一个思路:第一个做统一入口;第二个是需要识别组件依赖;第三个是查找漏洞数据源;第四个是需要不断地在全生命周期做安全治理。刘永强强调,这个思路有一个原则是安全左移,尽可能把安全引入往开发侧内嵌。前三个是基础要点,在做生命周期安全治理之前,前三个一定要做。

  武鑫:漏洞资产管理也包含在网络安全大框架里

  论坛最后,奇安信网络安全部产品安全负责人武鑫做了“从漏洞的视角看敏捷安全”的发言。武鑫介绍,从漏洞的视角来看敏捷安全,文化、流程和技术三个方面很重要,尤其在漏洞方面能得到深刻的体现。

BCS2020举办DevSecOps论坛,业界领袖共话敏捷开发和运维

  武鑫表示,不管是SDL,或者是DevSecOps,目的都是为了让产品更加安全。此外,武鑫还总结了在修复漏洞实践中遇到的问题,并分享了关于漏洞修复的管理原则和方法。

  武鑫表示,第一点通过建立制度、策略和线上漏洞运营的系统,加强漏洞修复能力;第二点是漏洞分级,抓大放小,并进行一个动态的维护。第三点通过自研平台进行漏洞扫描,一方面降低漏洞的数量,另外一方面加强自己的漏洞发现能力。最后武鑫总结到,不管是应用安全能力,还是漏洞资产管理,都是包含在在大框架里的。

  北京网络安全大会(BCS)由奇安信集团主办,以“全球网络安全 倾听北京声音”为立意,着眼数字化、网络化、智能化的时代背景,充分发挥北京科技之都、创新之都的资源优势,聚焦当前与未来网络安全产业发展、国际合作、资本创投、前沿技术、新场景应用和人才培养,搭建政、产、企、资、学、用等多方参与的世界级交流合作平台。大会为期10天,精彩还在继续!

移动针对高考学生的优惠

极米play 超悦版


中国移动互联网发展报告2020

返回网站首页

小米平板5正式发售时间

法院淘宝网

苏宁易购:5G步入加速发展期 新场景催生消费新需求
电视版的本地播放器推荐,当贝播放器和暴风播放器对比如何?

b.o.w蓝牙折叠键盘使用说明

iphone 13各个版本价格

联想拯救者一年一更新?


返回网站首页

本文评论
游戏行业风光不再!遭遇需求萎靡和零件短缺双重打击(游戏行业的机遇和威胁)
俄罗斯驻联合国大使乐视超级电视游戏中心软银的股权架构扎克伯格创业启示   据报道,视频游戏行业虽然在疫情期间经历了整体爆发,但最近却遭遇了需求萎缩,导致外界开始质疑游...
日期:08-12
为爱美用户隐私安全保驾护航,更美APP加入移动应用程序安全委员会
  变美已经成为消费者普遍的需求,为了能够拥有自己心目中的美丽容颜,很多人都会通过医美项目来完成自己的心愿。而更美APP自诞生之日起就专注于医美行业,经过多年沉淀与...
日期:07-14
立足数据,助力AI——Testin将亮相第六届世界互联网大会
  全球瞩目的第六届世界互联网大会将于2019年10月20日至22日在中国乌镇召开,大会以“互联网之光”为主题,聚焦世界互联网发展趋势和前沿技术,突出展示全球范围内的新技术新...
日期:12-15
瑞数信息被Gartner《在线反欺诈市场指南》报告  列为在线反欺诈领域代表厂商!
  2021年7月,全球权威IT研究与顾问咨询公司Gartner发布《在线反欺诈市场指南》(Market Guide for Online Fraud Detection)报告,瑞数信息被列为在线反欺诈领域的 Represent...
日期:07-17
台湾新闻最新消息今天台_台媒:中国台湾地区有望提前到今年关闭 3G 网络
  据中国台湾地区媒体报道,中华电信已向主管机构 NCC 申请 2024 年关闭 3G 网络,台湾大与远传电信也以 2024 年关闭 3G 网络为目标,只有小型运营商台湾之星还没有规划。  ...
日期:12-12
5G即将成为现实 无线网络会发生什么?_5g是无线网络技术吗
  在美国,有超过四亿台移动设备在使用,平均每个美国人拥有1.2台移动设备,而越来越多的设备每天在网上和实体店中被激活。   根据最新的《爱立信移动报告》,美国每个智能手...
日期:09-04
咖啡与茶饮的椰子故事,还能讲多久?「椰子汁泡咖啡」
  文 | 涂梦莹  来源:19号商研社三星第一代galaxy  椰子味风靡  从去年到今年,椰子火得有点久。  这个9月,新式椰子食品饮料品牌可可满分再度完成数千万元A轮融资,这...
日期:09-27
中势科技4000万进军元宇宙,“新领域新赛道”逐浪前行!
万物互联,数字点亮生活,这十年,数字化让生活更便利,数字技术不断拓展着生活的边界,展现出为经济赋能、为生活添彩的强大影响力和创造力,此次大会更是明确提出“加快建设制造强国、...
日期:10-29
哒哒一下,区块链落地应用才是王道,跟我来创业
  马云说“穷人是骑着单车去银行存钱的人,富人是开着跑车去银行借钱的人。有钱的人越来越有钱,没钱的人越来越穷。”大家都知道打工无压力,收入稳定,不操心,但唯独只有创业才...
日期:04-25
来小红书之城,解锁城市生活新玩法_小红书怎么改变城市
  城市,还是家乡?是大部分都市轻年的节前选择焦虑症集中爆发的地方。也就是在这一刻,更多年轻人意识到城市生活的另一面,那些兵荒马乱之后对结果的笃定,凌晨时分对面办公室的...
日期:08-28
干活又快又好?五一致敬劳动者,这个AI劳模也不能少_致敬最美劳动者,争做劳动小先锋
  又是一年五一劳动节,在这个专属于广大劳动者的节日里,总会有许多爱岗敬业、无私奉献的劳动模范案例涌现出来,引发大家的关注、学习和致敬。   进入AI时代后,产业智能化...
日期:12-22
埃纳特火山「世界最大!茂纳洛亚活火山或将喷发:当地居民已收到预警」
世界上最大的活火山名为茂纳洛亚,位于美国夏威夷岛,该火山或将再次喷发。据海外媒体报道,隶属于美国地质调查局的夏威夷火山观测站表示,自上个月中旬以来,茂纳洛亚火山一直处于高...
日期:10-30
ebay的机遇和威胁「两名前eBay高管因参与网络跟踪活动而被判入狱」
  讯 北京时间9月30日早间消息,两名前eBay高管在美国当地时间周四被判入狱,原因是两人参与了一项网络跟踪计划,该计划的跟踪对象是一对夫妇,这对夫妇运作的一个电子商务博客被...
日期:09-30
高德地图发布《2022年国庆假期出行预测报告》_高德地图2019出行报告
9 月 28 日消息,近日,高德地图发布《 2022 年国庆假期出行预测报告》(以下简称“报告”),为公众节日出行、出游提供科学参考。本次报告中,除全国高速出行高峰时段及路段预测的核心...
日期:10-02
华为云SQL Server全版本100%支持两大全新上线服务功能
  近日,分布式事务与 Linked Server 服务功能全新上线,特别指出的是,华为云 SQL Server 所有版本均100%支持此两项服务功能。该服务可极大的方便用户通过创建 Linked Server...
日期:05-14
iPhone 15/16系支持高通基带 爆未来iPhone采用自研5G基带芯片「iPhone12全系列搭载高通的基带」
此前爆料称,苹果将为未来的iPhone自研5G基带芯片,但据预测,高通仍将是所有iPhone 15和iPhone 16系列机型的调制解调器供应商,这表明苹果的基带芯片至少要到2025年才会亮相。海通...
日期:10-18
看雷克萨斯es降价行情_丰田“加价神车”半年销量暴跌30%!雷克萨斯ES又全面涨价
作为丰田旗下的豪华汽车品牌,雷克萨斯一直的销量都很不错,特别是雷克萨斯ES,可以说是占据了雷克萨斯的半壁江山。即便是被网友疯狂吐槽“同级别动力最弱”,但也丝毫不影响该车的...
日期:08-17
屏占比绝了!疑似小米13钢化膜现身_小米11钢化玻璃膜
今日,数码博主“i冰宇宙”晒出一张小米13系列的钢化膜照片,从设计来看应该分别对应小米13和小米13 Pro两款机型,可以看出钢化膜接近四边等窄,预计小米13将带来极高的屏占比。iph...
日期:12-03
阿里云OS将于本月中首次升级(阿里云oss部署)
  9月5日上午消息,据阿里云官方人士透露,阿里云OS将于本月中旬进行首次升级,预计将新增消息通知块,以及支持在阿云浏览器安装apk应用。据悉,目前已经进入版本稳定性测试阶段。...
日期:07-22
联想网站展示基于第十代ThinkPad X1 Carbon打造的30周年纪念版「联想thinkpad x1 carbon2017」
五年前,联想以ThinkPad 25庆祝其ThinkPad品牌成立25周年,这是一款特别版的ThinkPad,采用经典的IBM风格键盘。又是五年过去,联想正在推出另一款纪念版的ThinkPad,需要注意的是这款...
日期:10-02