您的位置:首页>活动>培训>TF>TF动态

开发安全与供应链安全 | TF61回顾

阅读量:177
TF

6月16日, CCF TF 第61期“开发安全与供应链安全”成功举办。活动邀请了悬镜安全的创始人张涛(子芽),默安科技董事副总裁沈锡镛,墨云科技安全研究员马伦杰(和其正)3位重量级嘉宾,吸引了200多名观众参与。本年度安全SIG的活动还有两场,欢迎大家报名参与,具体时间请见文末。


在2020年第SolarWinds被入侵、2021年底Log4J2漏洞等软件供应链安全事故频出的大背景下,本期活动重点讨论了软件开发过程中的安全保障,以及软件供应链安全安全问题,并为参会者互动交流。本次活动由CCF TF安全SIG主席谭晓生主持。


谭晓生在开场介绍了最近两年软件供应链方面的重大事故、DevSecOps概念的以及三位讲者的背景和他们在开发安全与供应链安全工作方面的经历。


图片
马伦杰分享的软件供应链安全的各阶段工作


主题分享开始后,墨云科技安全研究员马伦杰首先做了题为《针对APT攻击的软件供应链安全体系建设与未知风险控制》的报告,从对软件供应链的APT攻击的防御做为切入点,介绍墨云对软件供应商做安全管理的措施,首先对供应商的安全开发流程做了解,然后对供应商提供的程序多安全测试、后门检测、软件成份分析,在软件升级更新阶段持续做软件安全性分析,最后,在软件下架阶段也要做到彻底下架,避免存在影子资产,给攻击者留下攻击的机会。

 

图片
马伦杰分享的软件全测试方法

然后介绍了软件安全检测的方法、步骤以及具体技术实现。

 

图片

马伦杰分享的软件供应链软件检测总体架构


在实践中,只需要对生产环境包含的、可被利用的漏洞做修复。对未知漏洞的防御,要意识到“安全空窗期”的存在,同时通过漏洞挖掘机器人基于软件成份清单对软件未知漏洞做挖掘。


默安科技董事副总裁沈锡镛有非常丰富的甲方安全与合规经验,做了题为《数字化转型期下的开发安全体系建设和软件供应链治理》的分享。

沈锡镛从实网攻防演习的需求入手,讲述如何在“战时”收敛攻击面。


图片
沈锡镛分享的如何在攻防演习的实战中收敛数据安全攻击面


然后,介绍了如何理顺数字化转型和开发安全的关系,深刻分析了业务开发部门与安全团队思维的差别,并且给出了如何将安全与风控融入业务开发体系的建议。

 

图片

沈锡镛分享的如何理顺数字化转型与开发安全的关系


图片

 沈锡镛分享的建设开发安全体系及收敛软件供应链风险路径


悬镜安全创始人张涛(子芽)分享的题目是《云原生场景下软件供应链风险治理技术浅谈》,从云原生时代面临的应用安全风险、软件供应链源头开源风险治理实践、代码疫苗技术进化之路、DevSecOps敏捷安全技术演进趋势四个层次做了分享。

 

图片

张涛分享的云原生时代软件供应链技术的跃迁式演进


首先讲到云原生时代,软件供应链技术产生了跃迁式演进。

 

图片

张涛分享的软件SDLC全生命周期应用场景覆盖


软件安全开发生命周期(SDLC)需要做到全生命周期覆盖。

 

图片

张涛介绍的代码疫苗技术演进趋势


然后介绍了代码疫苗技术、IAST技术的实践、RASP技术的实践,与相关技术的对比。

 

图片

张涛分享的IAST技术实践


图片

 张涛分享的RASP技术的实践


随后介绍了软件供应链全流程风险治理框架。

 

图片

张涛分享的软件供应链全流程风险治理框架


最后,介绍了DevSecOps敏捷安全技术未来的演进方向。

 

图片

张涛分享的DevSecOps敏捷安全技术未来演进方向


本次研讨会互动环节,参会者提出了很多问题,例如“软件安全与软件供应链安全的边界如何确定?”“信创场景下软件安全与供应链安全的区别?”“墨云的SCA和漏洞挖掘具体是什么样的架构?”等,三位嘉宾各抒己见,对重点问题进行了详尽的分享。


在数字化壮行和“软件定义一切”的大趋势下,随着对开源软件的大规模使用,软件开发安全与软件供应链安全会愈发重要。本次分享和交流也给大家带来了不少启发和帮助。本期精彩回顾视频可在CCF数字图书馆观看,欢迎持续关注TF更多精彩活动!


CCF TF安全SIG本年度活动安排


TF71

2022/8/18

工业互联网安全

TF80

2022/10/27

云原生安全


下期预告:


CCF TF64


本期“量子人工智能:机遇与挑战”将带大家共同了解与探讨量子人工智能的理论基础、软硬件平台、应用前景、行业生态网络等多个方面的发展现状与未来趋势。特别关注量子计算在机器学习、自然语言处理、金融科技、化工制药等重要领域的前沿研究与实际应用,以及当前面临的机遇与挑战。希望能对量子人工智能这一新兴领域的进一步发展起到推动作用。 


图片

识别或扫码报名

报名链接:https://conf.ccf.org.cn/TF64


关于CCF TF

CCF TF技术前线(Tech Frontier)创立于2017年6月,旨在为工程师提供顶级交流平台,更好地服务企业界计算机专业人士,帮助企业界专业技术人士职业发展,通过搭建平台实现常态化合作和发展,促进企业间、学术界与企业间技术交流。目前已组建架构、安全、智能前端、知识图谱、数据科学、工程师文化、算法与AI、智能制造、智能设备与交互、产业智能化、研发效能等十一个SIG(Special Interest Group),提供丰富的技术前线内容分享。2022年4月至2023年3月,CCF TF将在线开展47场活动,会员免费参加。

加入CCF

加入CCF会员享受更多超值活动,为自己的技术成长做一次好投资。

点击链接了解更多会员权益:CCF个人会员权益  CCF公司会员权益 

图片

识别或扫码入会


欢迎关注CCFTF及CCF业务总部公众号,精彩陆续开启!


图片

关注CCFTF获取TF活动资讯

图片

关注CCF业务总部优惠预定会议场地


合作媒体


图片


CCF推荐

【精品文章】




读完这篇文章后,您心情如何?