2023 CAS持续应用安全大会在北京举行

作者：安全419

来源：安全419

发布于：2023-04-13

4月13日下午，由第三方调研咨询机构数世咨询与比瓴科技、四维创智、酷德啄木鸟、孝道科技、云起无垠、边界无限、火线安全、海云安联合主办的2023 CAS持续应用安全大会在北京举行。

图/数世咨询创始人李少鹏

数世咨询创始人李少鹏在致辞中表示，当前国内外软件供应链安全方面的风险问题，目前仍没有完善的体系化解决方案以应对。聚焦到软件开发和应用安全，也就是持续应用安全（CAS）的范畴。在全球尤其是国内市场环境下，有两个显著特点：

首先，为了应对高速增长和不同需求的研发场景，行业用户已经拥有了多种不同的安全检测和防护工具，但他们之间缺乏连通性，不仅统一管理难度大，而且无法达到安全效能叠加的目的。

其次，单点安全能力具有突出优势的安全工具，对中小规模企业来说，存在投入产出比持续降低的现象。对于大型企业，同样如此，但是由于安全投入在信息化整体投入里始终处于微小的一部分，最重要的是某些安全工具是为了匹配业务合作的需要，因此这部分增加的成本对于大型企业来说就变得微不足道。

数世咨询还发现，在这样的情况下，许多行业用户在选购安全工具时，已经不再仅仅看重单品的安全能力，而是开始关注安全能力和安全数据之间联通的可能性，开始思考一体化平台型产品的方案。在保证某一两个与自身业务匹配度高的单点安全能力的条件下，牺牲其他安全工具一定的优势性，用联通性与安全效能的叠加性来获得更大的经济收益与安全保障效果。

图/数世咨询首席战略分析师靳慧超

数世咨询首席战略分析师靳慧超围绕CAS的核心定义、发展缘由、未来趋势对《持续应用安全(CAS)白皮书》进行解读。

他介绍，CAS持续应用安全是基于我国软件供应链安全现状所诞生的一种解决方案，是DevSecOps理念框架在我国商业市场的落地实践，致力于解决敏捷性思想在数字时代提出的安全保障需求。

CAS持续应用安全专注于保障数字化应用安全，现阶段主要聚焦于源代码、构建部署和上线运行阶段，将SCA、SAST、IAST、DAST、Fuzzing、RASP、MAST(移动应用安全检测)等安全能力集成到统一管理安全调度平台ASOC中，以提升开发与应用安全的效率，降低管理与运营的复杂性。

CAS持续应用安全能够帮助用户实现自由编排安全能力，并使其与CI/CD流程联动，使安全保障持续作用于应用的开发、部署、运行全流程，将安全数据关联分析的结果，反馈至各安全能力来持续优化安全保障的效果，同时为用户提供更具灵活性的交付方式，更具创新性的安全建设方案。

在会上，来自各家安全厂商的产品、技术负责人也解读了自身产品价值，并分享了在应用安全方面的探索实践。

图/孝道科技CT徐锋

孝道科技CTO徐锋以安全玻璃盒产品为例，重点讲述了IAST技术原理与典型应用场景，以及守道IAST的核心技术。

图/酷德啄木鸟总经理杨临庆

酷德啄木鸟总经理杨临庆介绍了CodePecker源代码静态缺陷分析系统（SAST）的产品优势及核心竞争力。

图/四维创智CEO司红星

四维创智CEO司红星在介绍中结合实际应用场景，讲述了智能渗透测试机器人产品的AI+安全融合的渗透测试解决方案。

图/云起无垠CEO沈凯文

云起无垠CEO沈凯文介绍了模糊测试是下一代软件安全自动化测试技术，通过向目标系统提供非预期的输入并监视异常结果，并结合动态分析、静态分析、插桩、覆盖引导、符号执行等技术，挖掘未知漏洞。

图/边界无限CTO、联合创始人王佳宁

边界无限CTO、联合创始人王佳宁介绍了基于RASP，主攻ADR，剑指云原生，打造整体应用动态防御体系。

图/火线安全CTO、联合创始人卢中阳

火线安全CTO、联合创始人卢中阳以“洞态IAST助力甲方DevSecOps落地”为主题，讲述了CAS场景下IAST在用户侧的落地应用方案。

图/比瓴科技高级副总裁刘舒骐

比瓴科技高级副总裁刘舒骐结合ASOC技术能力，讲述了通过编排、关联、智能技术实现安全自动化的核心理念。

图/海云安售前工程师杨海龙

海云安售前工程师杨海龙介绍了SCA的检测能力、修复方案及工具的易用性，并列举了SCA的实际应用案例。

据悉，为实现持续应用安全，数世咨询还发起了持续应用安全技术共同体，包括比瓴科技、酷德啄木鸟、孝道科技、思客云、四维创智、边界无限、云起无垠、火线安全、海云安、云智信安等多家安全厂商已加入其中，共享自身安全能力模块与对应领域的创新产品。

目前，CAS（持续应用安全）技术共同体成员招募工作仍然持续进行中，未来将聚合行业更多创新安全厂商共同为行业发展做出贡献。

应用安全 DevSecOps

下一篇：数据治理需求攀升 DSPM或成为关键工具