悬镜安全子芽:软件供应链安全威胁治理、开源安全风险治理迫在眉睫

首页 / 业界 / 企业 /  正文
作者:藏青
来源:安全419
发布于:2021-12-24
12月24日,由中国信通院主办,悬镜安全协办的2021GOLF+ IT新治理领导力论坛安全与风险治理分论坛在线上成功举办,安全419创始人张毅应邀担任本场分论坛主持人。
 
在本场分论坛中,多位来自金融、通信、互联网行业的一线研发运营安全一体化(DevSecOps)、软件供应链安全技术实践者,以及模型风险治理的行业专家和安全专家,围绕网络安全风险治理话题展开了深度探讨,就当前在该领域获得的研究成果、实践经验心得等进行了分享,从不同角度剖析了当前科技治理过程中存在的风险和安全隐患。
 
 
作为本场分论坛的协办方,悬镜安全创始人兼CEO子芽以《浅谈DevSecOps敏捷安全技术演进》为题,详细介绍了DevSecOps及其核心技术的落地实践,以及对DevSecOps敏捷安全技术演进的思考。
 
悬镜安全创始人兼CEO子芽在演讲中谈到,随着新技术、新应用的蓬勃发展,整个软件供应链技术也发生了巨大的跃迁式演进,从开发体系、应用架构到服务器在内的全部基础设施的演变,推动了上层的应用安全需求的演变。
 
 
在他看来,当前网络安全行业技术的演进已经经历了三个关键的阶段:
 
第一个阶段是传统网络安全中的边界防护、过滤分析,其中代表性的技术主要有WAF防火墙、IDS/IPS入侵防御与检测等;
 
第二个阶段是针对主机环境的异常检测,其中代表性的技术主要有EDR端点安全检测、HIDS主机入侵检测等等。这些新技术在这个阶段主要解决了高级威胁的细粒度检测问题,让高级的入侵行为能够真正看的清、看的见;
 
第三个阶段则是在云原生的场景下,以更加细粒度的技术手段看到加密流量在应用内部的流转,看到应用内部的上下文信息和实时发生的安全威胁。这个阶段的代表性技术就是悬镜安全专攻的应用运行时的情景感知和代码疫苗技术(IAST、RASP)。
 
他指出,当前软件开发安全面临两个问题,其一是凡是人写的代码,系统一定存在未被发现的安全漏洞,平均每一千行代码存在4-5个业务逻辑漏洞缺陷;其二是,现代应用大多是组装出来的而非纯自研的,78%-90%的现代应用融入了开源组件,平均每个应用包含147个开源组件,且67%的应用采用了带有已知漏洞的开源组件。
 
现代软件应用程序除了传统认知中的Web通用漏洞(SQL注入、命令执行、XXE、XXS等OWASP TOP 10)和业务逻辑漏洞(水平/垂直越权、短信轰炸、批量注册、验证码绕过等),还有大量来自第三方开源组件缺陷和自研代码安全问题,大量开源成分的组件、开源框架的使用带来的新的风险面,因此软件供应链安全威胁治理,特别是开源安全风险的治理迫在眉睫。
 
 
在演讲最后,子芽结合悬镜安全提出的“敏捷安全工具金字塔”,分享了自己对敏捷安全发展路线的思考。他谈到,在整个DevSecOps的演进过程中不仅要关注工具链技术落地的效果,也要关注工具链和平台的打通,而不仅仅是对工具链简单的堆砌。如何将在开发阶段通过白盒测试发现的漏洞缺陷,和在测试阶段通过灰盒测试以及在上线后通过黑盒测试发现的漏洞安全风险进行动态的关联,进行更精准的验证,进而再去结合业务价值判断漏洞的优先级,是整个敏捷开发安全演进的下一个方向。
 
他表示,相对于修复所有漏洞,不如关注更有价值的漏洞。安全工作需要排定优先级,例如在产品上线前修复系统中90%的中高危漏洞,允许部分低危漏洞流转到上线之后修复。整个DevSecOps未来演进的最终方向是建立一个基于风险与信任动态平衡的机制,安全的本质是实现风险和信任的平衡。