8月10日,2023数字供应链安全大会(DSS 2023)在京召开,大会以“开源的力量”为主题,致力于打造以“数字供应链安全”技术论道、产业变革、创新发展为核心交付价值,立足世界、规模宏大、影响力深远的安全盛会,擘画开源驱动下数字安全发展新蓝图。
会议现场,悬镜安全创始人兼CEO、DSS大会执行主席子芽发表“开源的力量”大会同名主题演讲,讲述了数字供应链的新变化和新内涵,同时重点发布和介绍了中国首个数字供应链SBOM格式(DSDX),并围绕演讲主题对悬镜安全最新开源安全技术应用发展进行了通篇解读。
安全从数字供应链开始
“数字应用正成为社会运转的基本组件”“现代应用都是组装的而非纯自研”是数字应用的两个安全共识,子芽指出,进入智能时代,数字技术成为新一代信息技术的灵魂,云服务、IT托管服务等颠覆了传统产品供应关系,正成为数字经济发展的基础设施。同时,有数据表明当前平均每个数字应用的开源成分都接近78%-90%,混源开发成为主要模式,开源风险治理的迫切性愈发重要。
网络安全发展定义技术发展,技术发展也带来网络安全发展上的革命性演变。在子芽眼中,网络边界安全和主机系统安全是过去我们经历的主要变革时代,随着信息技术的发展,包括新技术(数字技术)、新发布(开发方式)、新架构(应用构架)、新环境(基础设施)的变化,已促进数字供应链产生跃迁式变化,从大的视角下,网络安全时代已经演进到了以应用敏捷安全为核心的数字供应链安全时代。
子芽在演讲中进一步定义了什么是数字供应链,其意在梳理理解数字时代之下的供应链的全新关系,以及进一步明确网络安全发展演进演讲,。即从软件产品或服务到数字应用,数字供应链定义扩大了原有软件供应链的内涵,其将数字应用、基础设施服务、供应链数据统一规划到数字供应链组成当中,这也是业内首次明确数字供应链的组成。基于此由此来看,数字应用安全、基础设施服务安全、供应链数据安全即成为数字供应链安全的重点内容。
子芽进一步指出了数字供应链安全的三大关键特性,分别是“共生自进化净化、内生自免疫、敏捷自适应”,共生自进化对应为业务发展与安全建设共生,延伸为开源、内源和混源共生发展,研发、安全和运营角色在决策上共担安全风险;内生自免疫对应为防御前置,用安全左移的方法实现源头风险治理,并以威胁模拟实现持续安全度量;敏捷自适应对应为敏捷适应业务增长和迭代,使安全和业务融合又解耦,并适应基础设施环境变化,随时灵敏响应内外部威胁和风险。
中国首个数字供应链SBOM格式
站在数字供应链安全全流程治理与运营的视角,子芽将整个数字供应链安全划分为“供应链引入、生产链、供应链交付运营”三大环节。对应由ASOC、SOBM、TMA、SAST、SCA、IAST、DRA、RASP、PTE等技术手段予以支撑。子芽强调称,在整个过程中敏捷安全将是未来的主要趋势,其中SBOM也是数字供应链安全的关键部分。
子芽指出,SBOM即软件物料清单是建立数字供应链的安全基线,将在辅助安全设计评审,交叉安全测试和动态发布等环节发挥重要作用。大会上子芽发布了中国首个数字供应链SBOM格式——DSDX(Digital Supply-chain Data Exchange )。DSDX由OpenSCA社区主导发起,汇聚权威研究机构、甲方客户、安全厂商力量共同适配中国企业实战化应用场景。
据介绍,中国首个数字供应链安全格式(DSDX)将以企业级实战化应用实践,其目标是成为数字供应链安全治理与运营的核心技术抓手,以助力行业从软件供应安全过渡到数字供应链安全时代。国内首个自有SBOM格式-DSDX v1.0的核心特点包括全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。
全场景覆盖:涵盖源码、二进制、镜像等不同阶段的物料清单,对组件、漏洞、许可证风险全面覆盖;
强大兼容性:兼容SPDX、CycloneDX、SWID国际标准和国内标准,但不止于主流规范,在最小元素集基础上扩展其他元素;
供应链数据溯源:涵盖数字供应链流转信息、可追溯文件、组件,依赖的过程变化及其来源,保证SBOM的修改全程可追溯;
强自身安全性:物料清单本身满足机密性要求和完整性要求,具备真实性校验、防篡改待保护机制。
用开源的方式做开源风险治理
为什么要做开源?开源的本质是群智创新和工程进化。子芽在演讲环节再次强调了开源的重要性,并且着重指出面对着不确定性的未来,开源的群智创新模式将是数字供应链发展的力量源泉。
子芽分享道,SCA(软件成分分析)作为数字供应链安全管理入口,管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险;同时结合供应链安全情报,进行数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应;再根据清单进行物料成分一致性确认和开源风险治理,帮助建立DevSecOps敏捷安全体系和SDL安全开发体系;同时输出透明化的数字应用组件资产及风险清单,针对性建立安全可信的SBOM库。
源码SCA、二进制SCA、运行时SCA被视为SCA的三大关键技术能力,演讲中子芽强调了悬镜安全的OpenSCA技术正是具备以上三大关键能力,才能更好地为数字供应链提供安全保障。
在随后的演讲中,子芽全面分享了OpenSCA社区历年的发展和成长,包括社区的重要动作、开源项目的技术沉淀和获得的一系列荣誉等。同时他还分享了OpenSCA的技术生态,包括可分别独立使用的OpenSCA-cli、OpenSCA SaaS、源鉴SCA企业版以及共享的关键技术引擎,也进一步地介绍了丰富的插件生态,以及新近开放的多数据源比对能力和多格式漏洞库支持能力等关键特性。据子芽表述,OpenSCA已具有鲜明的自身特色和能力,在行业内处于领先地位。
回到演讲主题,子芽又介绍了基于OpenSCA开源社区和开源项目目前正在进行的工作,其中代码疫苗补丁防御、开源威胁情报、全链路SBOM追踪以及持续的社区生态共建是四个主要方向,进而用开源的力量,从源头护航数字供应链安全。
“除了OpenSCA,悬镜安全还将在明年开源OpenSAST,希望通过我们的技术创新、技术沉淀,能够更好地解决SAST在安全开发以及在数字供应链安全场景中高误报、高性能消耗的问题。”子芽最后分享道。
2023数字供应链安全大会(DSS 2023)由悬镜安全主办,ISC互联网安全大会组委会、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委员会、北京信息化协会信息技术应用创新工作委员会、OpenChain联合发起,OpenSCA开源社区、XRASP代码疫苗社区协办。
通过本次大会的成功举办,悬镜安全旨在指出传统的软件供应链安全已演进成为数字供应链安全,并成为企业数字化转型过程中重点关注的新焦点。此次各领域顶尖智慧的碰撞,将加快落地数字供应链安全治理工作,提升数字供应链安全风险的发现能力、分析能力、处置能力、防护能力以及数字供应链安全管理水平,为供应链上下游企业提供安全新方案与整体建设思路。