11月1日下午,由深圳市金融科技協會主辦的灣區金科(Fintech)沙龍(第四十期)——敏捷開發安全與軟體供應鏈安全實踐探討專場在灣區國際金融科技城舉辦。深圳市金融科技協會會員單位代表、福田金科雙園入駐企業代表等現場參加了活動,逾1500名業界人士線上線下同步參加,海雲安技術長齊大偉受邀出席此次活動。
活動大咖雲集,微眾銀行應用安全負責人徐浩冬、Seal 數澈軟體聯合創始人及CTO梁勝、安信證券開發安全負責人覃陽青、海雲安技術長齊大偉等4位網路安全領域資深專家分別在會上做主題分享。
微眾銀行應用安全負責人徐浩冬:敏捷開發安全質量提升探索和實踐
徐浩冬提到,敏捷開發安全質量提升遇到的挑戰包括安全層面和研發層面。在安全層面,會出現職責劃分不清晰、團隊人力不足、自動化不完善、工具適用性差等問題;在研發層面,有研發流程不統一、產品複雜多樣、新技術安全能力儲備不足、安全技能和意識薄弱等問題要解決。
對此,微眾銀行的應對思路是研發為安全質量負責,安全為研發提供能力支撐,從單點管控轉向全流程覆蓋,進行跨團隊聯合共建、協作共贏。在開發過程中進行明確的職責劃分,並根據安全現狀,制定開發相關安全規範和標準,建立標準化、高效可執行開發安全相關流程,實施閉環管理。根據風險治理需要和研發相關需求,微眾銀行搭建覆蓋軟體全生命週期各個階段自動化工具和運營監測等平臺,讓研發能高效、高質量保障系統安全質量。此外,還要制定適用當前成熟度運營度量指標,並根據運營情況對安全治理方向進行及時調整。
徐浩冬表示,安全研發流程得到推廣後,微眾銀行開發測試階段安全漏洞消除率不斷提高,外漏到眾測SRC漏洞大幅下降。
Seal 數澈軟體聯合創始人及CTO梁勝:如何保證企業軟體供應鏈安全(線上)
Seal成立於2022年3月,公司定位於軟體供應鏈安全創新解決方案的研發與應用,目前已推出新一代軟體供應鏈防火牆。
梁勝分享了企業在保護軟體供應鏈安全時所面臨的諸多挑戰,以及如何藉助工具應對這些問題。他指出,軟體供應鏈攻擊比傳統攻擊有更大隱患,近年來軟體供應鏈安全事件頻發,形勢日益嚴峻。現有的軟體供應鏈安全工具的不足主要體現在傳統掃描工具報錯太多、軟體供應鏈安全資訊彙總難、國內市場需求量大。
軟體供應鏈安全是一個全鏈路問題,其是左移糾錯+全鏈路安全的結合。Seal軟體供應鏈防火牆可以實現鏈路的軟體供應鏈管理,主要有三個特點:供應鏈全域性關聯、全鏈路防護、可擴充套件架構,從程式碼安全、構建系統、執行環境、依賴項等方面保護軟體供應鏈,做到整體協調,給企業提供全鏈路高度可信賴的軟體供應鏈防護。
安信證券開發安全負責人覃陽青:軟體安全開發實踐分享
覃陽青認為,SDL與DevSecOps在流程治理與工具鏈落地、使用場景、關注的開發環節、人員協作、安全工作效率等方面有所區別。
DevSecOps落地的關鍵點在於組織結構是否相適應、流程支援是否到位、技術支撐是否有效。DevSecOps落地會改變開發習慣,需要有與之適應的組織結構與文化。同時,落地需要有流程的支援,按不同企業的性質不同,需要建設本企業獨特的管理流程。此外,自動化檢測工具在縮短開發生命週期和提高安全工作效率方面扮演著關鍵角色,安全檢測能力對最終安全效果起到決定性作用。
對此,安信證券主要從標準/規範與流程建設、員工安全培訓、安全工具鏈構建、安全度量指標等方面開展DevSecOps落地實踐。其中,標準/規範與流程建設的設計原則是安全共生、安全左移、強弱搭配、精兵利器、自動化、閉環持續改進。
海雲安技術長齊大偉:沒有敏捷白盒,就沒有DevSecOps
齊大偉透過漏洞誤報率、檢測速率、檢測精準度,治理思想轉變等方面對傳統白盒和敏捷白盒進行對比,講述了敏捷白盒在敏捷開發環境中的優勢以及對於敏捷開發安全實現的重要性。
DevOps向DevSecOps平滑過渡的關鍵在於引入安全能力的同時,不破壞流水線自動化。DevSecOps場景對安全檢測工具提出了新要求:檢測速度要快、誤報率要低、自動化程度要高。
對此,傳統白盒(SAST)在DevSecOps體系建設中的應用痛點是誤報率高、檢測速度慢、以及異質的治理模式。因此,敏捷白盒需要對的這三項關鍵能力進行突破,以適應DevSecOps體系建設的要求。其中,敏捷白盒在DevSecOps體系實踐上與安全卡點融合,實現研發自治,做到安全賦能。
DevSecOps體系建設的價值與收益在於,合法合規、降本增效、安全保障、提升能力。