歷史的車輪總是驚人相似。我們不是巨人,我們只不過是站在巨人的肩膀上,面對百年未有之大變局的歷史機遇,放眼世界經(jīng)濟發(fā)展新局勢,立足國家網(wǎng)絡(luò)安全發(fā)展新態(tài)勢,作為中國數(shù)字供應(yīng)鏈安全的先驅(qū)者和開拓者,擎起數(shù)字安全時代的大旗,擘畫開源驅(qū)動下數(shù)字安全發(fā)展新藍圖。
NEWS【重磅消息】
近日,2023數(shù)字供應(yīng)鏈安全大會(DSS 2023)在國家會議中心成功舉辦,大會以“開源的力量”為主題,致力于打造以“數(shù)字供應(yīng)鏈安全”技術(shù)論道、產(chǎn)業(yè)變革、創(chuàng)新發(fā)展為核心交付價值,立足世界、規(guī)模宏大、影響力深遠的超千人安全盛會。會上,懸鏡安全創(chuàng)始人兼CEO、DSS大會執(zhí)行主席子芽分享題為“開源的力量”主旨演講,在業(yè)界首次講述了數(shù)字供應(yīng)鏈的新變化,定義數(shù)字供應(yīng)鏈安全的新內(nèi)涵,同時重點發(fā)布并解讀中國首個數(shù)字供應(yīng)鏈SBOM格式(DSDX),并圍繞演講主題對懸鏡安全最新開源安全技術(shù)應(yīng)用發(fā)展進行了精彩分享。
兩個共識、四大躍遷,解讀「數(shù)字供應(yīng)鏈安全三大特性」
數(shù)字時代,萬物可編程,數(shù)字技術(shù)是新一代信息技術(shù)的靈魂。“數(shù)字應(yīng)用正成為社會運轉(zhuǎn)的基本組件”、“現(xiàn)代應(yīng)用都是組裝的而非純自研”是數(shù)字應(yīng)用的兩個安全共識,子芽指出,進入數(shù)智時代,數(shù)字技術(shù)成為新一代信息技術(shù)的靈魂,云服務(wù)、IT托管服務(wù)等顛覆了傳統(tǒng)產(chǎn)品供應(yīng)關(guān)系,正成為數(shù)字經(jīng)濟發(fā)展的基礎(chǔ)設(shè)施。同時,有數(shù)據(jù)表明當前平均每個數(shù)字應(yīng)用的開源成分都接近78%-90%,混源開發(fā)成為主要模式,開源風(fēng)險治理的迫切性愈發(fā)重要。
隨著數(shù)字時代的到來,我們熟知的軟件供應(yīng)鏈正向數(shù)字供應(yīng)鏈躍遷式演進,溯其根源,主要在以下四個方面發(fā)生著深刻地變化:一、在數(shù)字應(yīng)用編程開發(fā)方式上,正從閉源開發(fā)向內(nèi)源開發(fā)和混源開發(fā)演進;二、在應(yīng)用協(xié)作發(fā)布方式上,正從瀑布式開發(fā)向敏捷開發(fā)和DevOps研運一體化演進;三、在應(yīng)用架構(gòu)設(shè)計上,正從單體應(yīng)用向微服務(wù)和Serverless架構(gòu)演進;四、在基礎(chǔ)設(shè)施運行環(huán)境上,正從物理機向虛擬化和容器化演進。
* 數(shù)字供應(yīng)鏈有了新的內(nèi)涵
子芽在演講中進一步定義了什么是數(shù)字供應(yīng)鏈,其意在梳理數(shù)字時代之下供應(yīng)鏈的全新關(guān)系,以及進一步明確網(wǎng)絡(luò)安全發(fā)展演進,即從軟件產(chǎn)品或服務(wù)到數(shù)字應(yīng)用,數(shù)字供應(yīng)鏈定義擴大了原有軟件供應(yīng)鏈的內(nèi)涵,其將數(shù)字應(yīng)用、基礎(chǔ)設(shè)施服務(wù)、供應(yīng)鏈數(shù)據(jù)統(tǒng)一規(guī)劃到數(shù)字供應(yīng)鏈組成當中,這也是業(yè)內(nèi)首次明確數(shù)字供應(yīng)鏈的組成;诖,數(shù)字應(yīng)用安全、基礎(chǔ)設(shè)施服務(wù)安全、供應(yīng)鏈數(shù)據(jù)安全即成為數(shù)字供應(yīng)鏈安全的重點內(nèi)容。
* 數(shù)字供應(yīng)鏈安全的重點內(nèi)容
子芽進一步指出了數(shù)字供應(yīng)鏈安全的三大關(guān)鍵特性,分別是“共生自進化、內(nèi)生自免疫、敏捷自適應(yīng)”,共生自進化對應(yīng)為業(yè)務(wù)發(fā)展與安全建設(shè)共生,延伸為開源、內(nèi)源和混源共生發(fā)展,研發(fā)、安全和運營角色在決策上共擔安全風(fēng)險;內(nèi)生自免疫對應(yīng)為防御前置,用安全左移的方法實現(xiàn)源頭風(fēng)險治理,并以威脅模擬實現(xiàn)持續(xù)安全度量;敏捷自適應(yīng)對應(yīng)為敏捷適應(yīng)業(yè)務(wù)增長和迭代,使安全和業(yè)務(wù)融合又解耦,并適應(yīng)基礎(chǔ)設(shè)施環(huán)境變化,隨時靈敏響應(yīng)內(nèi)外部威脅和風(fēng)險。
* 數(shù)字供應(yīng)鏈安全的三大關(guān)鍵特性
山河依舊,技為長
一個基線、三大環(huán)節(jié),揭秘「自有SBOM格式四大特點」
站在數(shù)字供應(yīng)鏈安全全流程治理與運營的視角,子芽將整個數(shù)字供應(yīng)鏈安全劃分為“供應(yīng)鏈引入、生產(chǎn)鏈、供應(yīng)鏈交付運營”三大環(huán)節(jié)。對應(yīng)由ASOC、SBOM、TMA、SAST、SCA、IAST、DRA、RASP、PTE等技術(shù)手段予以支撐。子芽強調(diào)稱,在整個過程中敏捷安全將是未來的主要趨勢,其中SBOM也是數(shù)字供應(yīng)鏈安全的關(guān)鍵部分。
* DSDX (DigitalSupply-chain Data Exchange)
子芽指出,SBOM即軟件物料清單是建立數(shù)字供應(yīng)鏈的安全基線,將在輔助安全設(shè)計評審,交叉安全測試和動態(tài)發(fā)布等環(huán)節(jié)發(fā)揮重要作用。大會上子芽發(fā)布了中國首個數(shù)字供應(yīng)鏈SBOM格式——DSDX(Digital Supply-chain Data Exchange )。DSDX由OpenSCA社區(qū)主導(dǎo)發(fā)起,匯聚權(quán)威研究機構(gòu)、甲方客戶、安全廠商力量共同適配中國企業(yè)實戰(zhàn)化應(yīng)用場景。
* DSDX解讀
據(jù)介紹,中國首個數(shù)字供應(yīng)鏈安全格式(DSDX)將以企業(yè)級實戰(zhàn)化應(yīng)用實踐,其目標是成為數(shù)字供應(yīng)鏈安全治理與運營的核心技術(shù)抓手,以助力行業(yè)從軟件供應(yīng)鏈安全過渡到數(shù)字供應(yīng)鏈安全時代。國內(nèi)首個自有SBOM格式-DSDX v1.0的核心特點包括全場景覆蓋、強大的兼容性、供應(yīng)鏈數(shù)據(jù)溯源和強大的自身安全性。
* 國內(nèi)首個自有SBOM格式-DSDX v1.0
全場景覆蓋:涵蓋源碼、二進制、鏡像等不同階段的物料清單,對組件、漏洞、許可證風(fēng)險全面覆蓋;
強大兼容性:兼容SPDX、CycloneDX、SWID國際標準和國內(nèi)標準,但不止于主流規(guī)范,在最小元素集基礎(chǔ)上擴展其他元素;
供應(yīng)鏈數(shù)據(jù)溯源:涵蓋數(shù)字供應(yīng)鏈流轉(zhuǎn)信息、可追溯文件、組件,依賴的過程變化及其來源,保證SBOM的修改全程可追溯;
強自身安全性:物料清單本身滿足機密性要求和完整性要求,具備真實性校驗、防篡改等保護機制。
#FormatImgID_10#
兩個本質(zhì)、三個關(guān)鍵能力,構(gòu)筑「開源技術(shù)生態(tài)四大突破」
為什么要做開源?開源的本質(zhì)是群智創(chuàng)新和共生進化。子芽在演講環(huán)節(jié)再次強調(diào)了開源的重要性,并且著重指出面對著不確定性的未來,開源的群智創(chuàng)新模式將是數(shù)字供應(yīng)鏈發(fā)展的力量源泉。
* 關(guān)于OpenSCA
子芽分享道,SCA(軟件成分分析)作為數(shù)字供應(yīng)鏈安全管理入口,管控數(shù)字供應(yīng)鏈在引入、生產(chǎn)、分發(fā)、交付環(huán)節(jié)全流程數(shù)字資產(chǎn)的安全風(fēng)險;同時結(jié)合供應(yīng)鏈安全情報,進行數(shù)字供應(yīng)鏈組件資產(chǎn)的持續(xù)性風(fēng)險評估和緊急漏洞事件的快速響應(yīng);再根據(jù)清單進行物料成分一致性確認和開源風(fēng)險治理,幫助建立DevSecOps敏捷安全體系和SDL安全開發(fā)體系;同時輸出透明化的數(shù)字應(yīng)用組件資產(chǎn)及風(fēng)險清單,針對性建立安全可信的SBOM庫。
源碼SCA、二進制SCA、運行時SCA被視為SCA的三大關(guān)鍵技術(shù)能力,演講中子芽強調(diào)了懸鏡安全的OpenSCA技術(shù)正是具備以上三大關(guān)鍵能力,才能更好地為數(shù)字供應(yīng)鏈提供安全保障。
SCA技術(shù)作為數(shù)字供應(yīng)鏈開源治理的關(guān)鍵入口,有著全新的內(nèi)涵:一、源碼級SCA特別是代碼片段級同源檢測技術(shù)在代碼自研率分析、全球開源風(fēng)險溯源等場景有越來越多的應(yīng)用;二、二進制SCA憑借直接分析制品成分及風(fēng)險,正成為供應(yīng)鏈安全審查的關(guān)鍵技術(shù);三、運行時SCA憑借精準識別數(shù)字應(yīng)用運行加載時真正使用到的第三方組件及依賴,在應(yīng)用測試和常態(tài)化安全運營場景有著更廣泛的應(yīng)用;四、以DSDX為代表的SBOM作為數(shù)字供應(yīng)鏈安全治理的重要抓手,將在整個供應(yīng)鏈引入、生產(chǎn)、交付等關(guān)鍵環(huán)節(jié)的開源治理實踐中發(fā)揮著重要作用;四、供應(yīng)鏈安全情報特別是開源治理情報和供應(yīng)鏈投毒情報的應(yīng)用將極大程度提升開源治理的先發(fā)性和實效性;許可證合規(guī)治理在業(yè)務(wù)出海和國內(nèi)監(jiān)管合規(guī)治理上開始受到行業(yè)越來越高的重視。
在隨后的演講中,子芽全面分享了OpenSCA社區(qū)歷年的發(fā)展和成長,包括社區(qū)的重要動作、開源項目的技術(shù)沉淀和獲得的一系列榮譽等。同時他還分享了OpenSCA的技術(shù)生態(tài),包括可分別獨立使用的OpenSCA-cli、OpenSCA SaaS、源鑒SCA企業(yè)版以及共享的關(guān)鍵技術(shù)引擎,也進一步地介紹了豐富的插件生態(tài),以及新近開放的多數(shù)據(jù)源比對能力和多格式漏洞庫支持能力等關(guān)鍵特性。據(jù)子芽表述,OpenSCA已具有鮮明的自身特色和能力,在行業(yè)內(nèi)處于領(lǐng)先地位。
回到演講主題,子芽又介紹了基于OpenSCA開源社區(qū)和開源項目目前正在進行的工作,其中代碼疫苗補丁防御、開源威脅情報、全鏈路SBOM追蹤以及持續(xù)的社區(qū)生態(tài)共建是四個主要方向,進而用開源的力量,從源頭護航數(shù)字供應(yīng)鏈安全。
OpenSCA技術(shù)生態(tài)
2023數(shù)字供應(yīng)鏈安全大會(DSS 2023)由懸鏡安全主辦,ISC互聯(lián)網(wǎng)安全大會組委會、中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進中心)、中國信息通信研究院云計算與大數(shù)據(jù)研究所、CCF計算機安全專業(yè)委員會、北京信息化協(xié)會信息技術(shù)應(yīng)用創(chuàng)新工作委員會、OpenChain聯(lián)合發(fā)起,OpenSCA開源社區(qū)、XRASP代碼疫苗社區(qū)協(xié)辦。
通過本次大會的成功舉辦,懸鏡安全旨在指出傳統(tǒng)的軟件供應(yīng)鏈安全已演進成為數(shù)字供應(yīng)鏈安全,并成為企業(yè)數(shù)字化轉(zhuǎn)型過程中重點關(guān)注的新焦點。此次各領(lǐng)域頂尖智慧的碰撞,將加快落地數(shù)字供應(yīng)鏈安全治理工作,提升數(shù)字供應(yīng)鏈安全風(fēng)險的發(fā)現(xiàn)能力、分析能力、處置能力、防護能力以及數(shù)字供應(yīng)鏈安全管理水平,為供應(yīng)鏈上下游企業(yè)提供安全新方案與整體建設(shè)思路。
*OpenSCA能力棧
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹慎對待。投資者據(jù)此操作,風(fēng)險自擔。
2024年的Adobe MAX 2024發(fā)布會上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實質(zhì)性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會——工業(yè)互聯(lián)網(wǎng)標識解析專題論壇在沈陽成功舉辦。