歷史的車輪總是驚人相似���。我們不是巨人�,我們只不過是站在巨人的肩膀上��,面對(duì)百年未有之大變局的歷史機(jī)遇����,放眼世界經(jīng)濟(jì)發(fā)展新局勢(shì)����,立足國(guó)家網(wǎng)絡(luò)安全發(fā)展新態(tài)勢(shì)�,作為中國(guó)數(shù)字供應(yīng)鏈安全的先驅(qū)者和開拓者,擎起數(shù)字安全時(shí)代的大旗�����,擘畫開源驅(qū)動(dòng)下數(shù)字安全發(fā)展新藍(lán)圖�����。
NEWS【重磅消息】
近日�����,2023數(shù)字供應(yīng)鏈安全大會(huì)(DSS 2023)在國(guó)家會(huì)議中心成功舉辦�����,大會(huì)以“開源的力量”為主題�����,致力于打造以“數(shù)字供應(yīng)鏈安全”技術(shù)論道�����、產(chǎn)業(yè)變革�����、創(chuàng)新發(fā)展為核心交付價(jià)值��,立足世界����、規(guī)模宏大、影響力深遠(yuǎn)的超千人安全盛會(huì)����。會(huì)上,懸鏡安全創(chuàng)始人兼CEO�����、DSS大會(huì)執(zhí)行主席子芽分享題為“開源的力量”主旨演講���,在業(yè)界首次講述了數(shù)字供應(yīng)鏈的新變化,定義數(shù)字供應(yīng)鏈安全的新內(nèi)涵�,同時(shí)重點(diǎn)發(fā)布并解讀中國(guó)首個(gè)數(shù)字供應(yīng)鏈SBOM格式(DSDX)���,并圍繞演講主題對(duì)懸鏡安全最新開源安全技術(shù)應(yīng)用發(fā)展進(jìn)行了精彩分享。
兩個(gè)共識(shí)��、四大躍遷�����,解讀「數(shù)字供應(yīng)鏈安全三大特性」
數(shù)字時(shí)代���,萬物可編程,數(shù)字技術(shù)是新一代信息技術(shù)的靈魂����。“數(shù)字應(yīng)用正成為社會(huì)運(yùn)轉(zhuǎn)的基本組件”、“現(xiàn)代應(yīng)用都是組裝的而非純自研”是數(shù)字應(yīng)用的兩個(gè)安全共識(shí)����,子芽指出,進(jìn)入數(shù)智時(shí)代����,數(shù)字技術(shù)成為新一代信息技術(shù)的靈魂,云服務(wù)、IT托管服務(wù)等顛覆了傳統(tǒng)產(chǎn)品供應(yīng)關(guān)系���,正成為數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)設(shè)施����。同時(shí)����,有數(shù)據(jù)表明當(dāng)前平均每個(gè)數(shù)字應(yīng)用的開源成分都接近78%-90%,混源開發(fā)成為主要模式���,開源風(fēng)險(xiǎn)治理的迫切性愈發(fā)重要。
隨著數(shù)字時(shí)代的到來���,我們熟知的軟件供應(yīng)鏈正向數(shù)字供應(yīng)鏈躍遷式演進(jìn)���,溯其根源,主要在以下四個(gè)方面發(fā)生著深刻地變化:一�����、在數(shù)字應(yīng)用編程開發(fā)方式上�,正從閉源開發(fā)向內(nèi)源開發(fā)和混源開發(fā)演進(jìn);二、在應(yīng)用協(xié)作發(fā)布方式上�����,正從瀑布式開發(fā)向敏捷開發(fā)和DevOps研運(yùn)一體化演進(jìn);三�����、在應(yīng)用架構(gòu)設(shè)計(jì)上�����,正從單體應(yīng)用向微服務(wù)和Serverless架構(gòu)演進(jìn);四�、在基礎(chǔ)設(shè)施運(yùn)行環(huán)境上,正從物理機(jī)向虛擬化和容器化演進(jìn)����。
* 數(shù)字供應(yīng)鏈有了新的內(nèi)涵
子芽在演講中進(jìn)一步定義了什么是數(shù)字供應(yīng)鏈,其意在梳理數(shù)字時(shí)代之下供應(yīng)鏈的全新關(guān)系�,以及進(jìn)一步明確網(wǎng)絡(luò)安全發(fā)展演進(jìn)��,即從軟件產(chǎn)品或服務(wù)到數(shù)字應(yīng)用���,數(shù)字供應(yīng)鏈定義擴(kuò)大了原有軟件供應(yīng)鏈的內(nèi)涵���,其將數(shù)字應(yīng)用����、基礎(chǔ)設(shè)施服務(wù)�、供應(yīng)鏈數(shù)據(jù)統(tǒng)一規(guī)劃到數(shù)字供應(yīng)鏈組成當(dāng)中,這也是業(yè)內(nèi)首次明確數(shù)字供應(yīng)鏈的組成�������;诖�,數(shù)字應(yīng)用安全、基礎(chǔ)設(shè)施服務(wù)安全�、供應(yīng)鏈數(shù)據(jù)安全即成為數(shù)字供應(yīng)鏈安全的重點(diǎn)內(nèi)容。
* 數(shù)字供應(yīng)鏈安全的重點(diǎn)內(nèi)容
子芽進(jìn)一步指出了數(shù)字供應(yīng)鏈安全的三大關(guān)鍵特性���,分別是“共生自進(jìn)化��、內(nèi)生自免疫�����、敏捷自適應(yīng)”���,共生自進(jìn)化對(duì)應(yīng)為業(yè)務(wù)發(fā)展與安全建設(shè)共生�,延伸為開源、內(nèi)源和混源共生發(fā)展�����,研發(fā)���、安全和運(yùn)營(yíng)角色在決策上共擔(dān)安全風(fēng)險(xiǎn);內(nèi)生自免疫對(duì)應(yīng)為防御前置���,用安全左移的方法實(shí)現(xiàn)源頭風(fēng)險(xiǎn)治理,并以威脅模擬實(shí)現(xiàn)持續(xù)安全度量;敏捷自適應(yīng)對(duì)應(yīng)為敏捷適應(yīng)業(yè)務(wù)增長(zhǎng)和迭代�����,使安全和業(yè)務(wù)融合又解耦��,并適應(yīng)基礎(chǔ)設(shè)施環(huán)境變化����,隨時(shí)靈敏響應(yīng)內(nèi)外部威脅和風(fēng)險(xiǎn)。
* 數(shù)字供應(yīng)鏈安全的三大關(guān)鍵特性
山河依舊�,技為長(zhǎng)
一個(gè)基線��、三大環(huán)節(jié)�,揭秘「自有SBOM格式四大特點(diǎn)」
站在數(shù)字供應(yīng)鏈安全全流程治理與運(yùn)營(yíng)的視角�,子芽將整個(gè)數(shù)字供應(yīng)鏈安全劃分為“供應(yīng)鏈引入、生產(chǎn)鏈����、供應(yīng)鏈交付運(yùn)營(yíng)”三大環(huán)節(jié)��。對(duì)應(yīng)由ASOC�、SBOM、TMA�����、SAST�����、SCA���、IAST���、DRA�、RASP��、PTE等技術(shù)手段予以支撐��。子芽強(qiáng)調(diào)稱�����,在整個(gè)過程中敏捷安全將是未來的主要趨勢(shì)�,其中SBOM也是數(shù)字供應(yīng)鏈安全的關(guān)鍵部分���。
* DSDX (DigitalSupply-chain Data Exchange)
子芽指出��,SBOM即軟件物料清單是建立數(shù)字供應(yīng)鏈的安全基線,將在輔助安全設(shè)計(jì)評(píng)審�����,交叉安全測(cè)試和動(dòng)態(tài)發(fā)布等環(huán)節(jié)發(fā)揮重要作用�����。大會(huì)上子芽發(fā)布了中國(guó)首個(gè)數(shù)字供應(yīng)鏈SBOM格式——DSDX(Digital Supply-chain Data Exchange )�����。DSDX由OpenSCA社區(qū)主導(dǎo)發(fā)起,匯聚權(quán)威研究機(jī)構(gòu)�、甲方客戶、安全廠商力量共同適配中國(guó)企業(yè)實(shí)戰(zhàn)化應(yīng)用場(chǎng)景���。
* DSDX解讀
據(jù)介紹���,中國(guó)首個(gè)數(shù)字供應(yīng)鏈安全格式(DSDX)將以企業(yè)級(jí)實(shí)戰(zhàn)化應(yīng)用實(shí)踐,其目標(biāo)是成為數(shù)字供應(yīng)鏈安全治理與運(yùn)營(yíng)的核心技術(shù)抓手���,以助力行業(yè)從軟件供應(yīng)鏈安全過渡到數(shù)字供應(yīng)鏈安全時(shí)代���。國(guó)內(nèi)首個(gè)自有SBOM格式-DSDX v1.0的核心特點(diǎn)包括全場(chǎng)景覆蓋、強(qiáng)大的兼容性��、供應(yīng)鏈數(shù)據(jù)溯源和強(qiáng)大的自身安全性�。
* 國(guó)內(nèi)首個(gè)自有SBOM格式-DSDX v1.0
全場(chǎng)景覆蓋:涵蓋源碼、二進(jìn)制�、鏡像等不同階段的物料清單,對(duì)組件�����、漏洞��、許可證風(fēng)險(xiǎn)全面覆蓋;
強(qiáng)大兼容性:兼容SPDX����、CycloneDX、SWID國(guó)際標(biāo)準(zhǔn)和國(guó)內(nèi)標(biāo)準(zhǔn)�����,但不止于主流規(guī)范���,在最小元素集基礎(chǔ)上擴(kuò)展其他元素;
供應(yīng)鏈數(shù)據(jù)溯源:涵蓋數(shù)字供應(yīng)鏈流轉(zhuǎn)信息、可追溯文件�、組件,依賴的過程變化及其來源�,保證SBOM的修改全程可追溯;
強(qiáng)自身安全性:物料清單本身滿足機(jī)密性要求和完整性要求,具備真實(shí)性校驗(yàn)����、防篡改等保護(hù)機(jī)制。
#FormatImgID_10#
兩個(gè)本質(zhì)����、三個(gè)關(guān)鍵能力���,構(gòu)筑「開源技術(shù)生態(tài)四大突破」
為什么要做開源?開源的本質(zhì)是群智創(chuàng)新和共生進(jìn)化。子芽在演講環(huán)節(jié)再次強(qiáng)調(diào)了開源的重要性���,并且著重指出面對(duì)著不確定性的未來����,開源的群智創(chuàng)新模式將是數(shù)字供應(yīng)鏈發(fā)展的力量源泉��。
* 關(guān)于OpenSCA
子芽分享道�,SCA(軟件成分分析)作為數(shù)字供應(yīng)鏈安全管理入口�����,管控?cái)?shù)字供應(yīng)鏈在引入�����、生產(chǎn)�、分發(fā)、交付環(huán)節(jié)全流程數(shù)字資產(chǎn)的安全風(fēng)險(xiǎn);同時(shí)結(jié)合供應(yīng)鏈安全情報(bào)���,進(jìn)行數(shù)字供應(yīng)鏈組件資產(chǎn)的持續(xù)性風(fēng)險(xiǎn)評(píng)估和緊急漏洞事件的快速響應(yīng);再根據(jù)清單進(jìn)行物料成分一致性確認(rèn)和開源風(fēng)險(xiǎn)治理���,幫助建立DevSecOps敏捷安全體系和SDL安全開發(fā)體系;同時(shí)輸出透明化的數(shù)字應(yīng)用組件資產(chǎn)及風(fēng)險(xiǎn)清單�,針對(duì)性建立安全可信的SBOM庫����。
源碼SCA、二進(jìn)制SCA����、運(yùn)行時(shí)SCA被視為SCA的三大關(guān)鍵技術(shù)能力,演講中子芽強(qiáng)調(diào)了懸鏡安全的OpenSCA技術(shù)正是具備以上三大關(guān)鍵能力���,才能更好地為數(shù)字供應(yīng)鏈提供安全保障。
SCA技術(shù)作為數(shù)字供應(yīng)鏈開源治理的關(guān)鍵入口����,有著全新的內(nèi)涵:一、源碼級(jí)SCA特別是代碼片段級(jí)同源檢測(cè)技術(shù)在代碼自研率分析��、全球開源風(fēng)險(xiǎn)溯源等場(chǎng)景有越來越多的應(yīng)用;二���、二進(jìn)制SCA憑借直接分析制品成分及風(fēng)險(xiǎn)�����,正成為供應(yīng)鏈安全審查的關(guān)鍵技術(shù);三����、運(yùn)行時(shí)SCA憑借精準(zhǔn)識(shí)別數(shù)字應(yīng)用運(yùn)行加載時(shí)真正使用到的第三方組件及依賴���,在應(yīng)用測(cè)試和常態(tài)化安全運(yùn)營(yíng)場(chǎng)景有著更廣泛的應(yīng)用;四��、以DSDX為代表的SBOM作為數(shù)字供應(yīng)鏈安全治理的重要抓手�����,將在整個(gè)供應(yīng)鏈引入�����、生產(chǎn)�����、交付等關(guān)鍵環(huán)節(jié)的開源治理實(shí)踐中發(fā)揮著重要作用;四�、供應(yīng)鏈安全情報(bào)特別是開源治理情報(bào)和供應(yīng)鏈投毒情報(bào)的應(yīng)用將極大程度提升開源治理的先發(fā)性和實(shí)效性;許可證合規(guī)治理在業(yè)務(wù)出海和國(guó)內(nèi)監(jiān)管合規(guī)治理上開始受到行業(yè)越來越高的重視�����。
在隨后的演講中,子芽全面分享了OpenSCA社區(qū)歷年的發(fā)展和成長(zhǎng)���,包括社區(qū)的重要?jiǎng)幼�����、開源項(xiàng)目的技術(shù)沉淀和獲得的一系列榮譽(yù)等�����。同時(shí)他還分享了OpenSCA的技術(shù)生態(tài)��,包括可分別獨(dú)立使用的OpenSCA-cli�、OpenSCA SaaS����、源鑒SCA企業(yè)版以及共享的關(guān)鍵技術(shù)引擎���,也進(jìn)一步地介紹了豐富的插件生態(tài)�,以及新近開放的多數(shù)據(jù)源比對(duì)能力和多格式漏洞庫支持能力等關(guān)鍵特性�����。據(jù)子芽表述����,OpenSCA已具有鮮明的自身特色和能力,在行業(yè)內(nèi)處于領(lǐng)先地位���。
回到演講主題�,子芽又介紹了基于OpenSCA開源社區(qū)和開源項(xiàng)目目前正在進(jìn)行的工作��,其中代碼疫苗補(bǔ)丁防御�����、開源威脅情報(bào)�����、全鏈路SBOM追蹤以及持續(xù)的社區(qū)生態(tài)共建是四個(gè)主要方向���,進(jìn)而用開源的力量���,從源頭護(hù)航數(shù)字供應(yīng)鏈安全���。
OpenSCA技術(shù)生態(tài)
2023數(shù)字供應(yīng)鏈安全大會(huì)(DSS 2023)由懸鏡安全主辦,ISC互聯(lián)網(wǎng)安全大會(huì)組委會(huì)���、中國(guó)軟件評(píng)測(cè)中心(工業(yè)和信息化部軟件與集成電路促進(jìn)中心)�、中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所�����、CCF計(jì)算機(jī)安全專業(yè)委員會(huì)�����、北京信息化協(xié)會(huì)信息技術(shù)應(yīng)用創(chuàng)新工作委員會(huì)��、OpenChain聯(lián)合發(fā)起�����,OpenSCA開源社區(qū)����、XRASP代碼疫苗社區(qū)協(xié)辦�。
通過本次大會(huì)的成功舉辦,懸鏡安全旨在指出傳統(tǒng)的軟件供應(yīng)鏈安全已演進(jìn)成為數(shù)字供應(yīng)鏈安全�����,并成為企業(yè)數(shù)字化轉(zhuǎn)型過程中重點(diǎn)關(guān)注的新焦點(diǎn)����。此次各領(lǐng)域頂尖智慧的碰撞,將加快落地?cái)?shù)字供應(yīng)鏈安全治理工作��,提升數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)的發(fā)現(xiàn)能力���、分析能力�、處置能力�����、防護(hù)能力以及數(shù)字供應(yīng)鏈安全管理水平��,為供應(yīng)鏈上下游企業(yè)提供安全新方案與整體建設(shè)思路�����。
*OpenSCA能力棧
文章內(nèi)容僅供閱讀�����,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待����。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)��。
京公網(wǎng)安備 11010502041587號(hào)