歷史的車輪總是驚人相似。我們不是巨人,我們只不過是站在巨人的肩膀上,面對百年未有之大變局的歷史機遇,放眼世界經濟發展新局勢,立足國家網絡安全發展新態勢,作為中國數字供應鏈安全的先驅者和開拓者,擎起數字安全時代的大旗,擘畫開源驅動下數字安全發展新藍圖。
第一排:歐文·朗繆爾、馬克斯·普朗克、瑪麗·居里、亨得里克·洛侖茲、阿爾伯特·愛因斯坦、保羅·朗之萬、Ch. E. Guye、C.T.R.威爾遜、O.W.里查森。
第二排:彼得·德拜、馬丁·努森、威廉·勞倫斯·布拉格、Hendrik Anthony Kramers、保羅·狄拉克、亞瑟·康普頓、路易·德布羅意、馬克斯·波恩、尼爾斯·玻爾。
第三排:奧古斯特·皮卡爾德、E. Henriot、保羅·埃倫費斯特、Ed. Herzen、Théophile de Donder、歐文·薛定諤、E. Verschaffelt、沃爾夫岡·泡利、沃納·海森堡、R.H.福勒、里昂·布里淵。
NEWS【重磅消息】
近日,2023數字供應鏈安全大會(DSS 2023)在國家會議中心成功舉辦,大會以“開源的力量”為主題,致力于打造以“數字供應鏈安全”技術論道、產業變革、創新發展為核心交付價值,立足世界、規模宏大、影響力深遠的超千人安全盛會。會上,懸鏡安全創始人兼CEO、DSS大會執行主席子芽分享題為“開源的力量”主旨演講,在業界首次講述了數字供應鏈的新變化,定義數字供應鏈安全的新內涵,同時重點發布并解讀中國首個數字供應鏈SBOM格式(DSDX),并圍繞演講主題對懸鏡安全最新開源安全技術應用發展進行了精彩分享。
兩個共識、四大躍遷,解讀「數字供應鏈安全三大特性」
數字時代,萬物可編程,數字技術是新一代信息技術的靈魂。“數字應用正成為社會運轉的基本組件”、“現代應用都是組裝的而非純自研”是數字應用的兩個安全共識,子芽指出,進入數智時代,數字技術成為新一代信息技術的靈魂,云服務、IT托管服務等顛覆了傳統產品供應關系,正成為數字經濟發展的基礎設施。同時,有數據表明當前平均每個數字應用的開源成分都接近78%-90%,混源開發成為主要模式,開源風險治理的迫切性愈發重要。
隨著數字時代的到來,我們熟知的軟件供應鏈正向數字供應鏈躍遷式演進,溯其根源,主要在以下四個方面發生著深刻地變化:一、在數字應用編程開發方式上,正從閉源開發向內源開發和混源開發演進;二、在應用協作發布方式上,正從瀑布式開發向敏捷開發和DevOps研運一體化演進;三、在應用架構設計上,正從單體應用向微服務和Serverless架構演進;四、在基礎設施運行環境上,正從物理機向虛擬化和容器化演進。
* 數字供應鏈有了新的內涵
子芽在演講中進一步定義了什么是數字供應鏈,其意在梳理數字時代之下供應鏈的全新關系,以及進一步明確網絡安全發展演進,即從軟件產品或服務到數字應用,數字供應鏈定義擴大了原有軟件供應鏈的內涵,其將數字應用、基礎設施服務、供應鏈數據統一規劃到數字供應鏈組成當中,這也是業內首次明確數字供應鏈的組成。基于此,數字應用安全、基礎設施服務安全、供應鏈數據安全即成為數字供應鏈安全的重點內容。
* 數字供應鏈安全的重點內容
子芽進一步指出了數字供應鏈安全的三大關鍵特性,分別是“共生自進化、內生自免疫、敏捷自適應”,共生自進化對應為業務發展與安全建設共生,延伸為開源、內源和混源共生發展,研發、安全和運營角色在決策上共擔安全風險;內生自免疫對應為防御前置,用安全左移的方法實現源頭風險治理,并以威脅模擬實現持續安全度量;敏捷自適應對應為敏捷適應業務增長和迭代,使安全和業務融合又解耦,并適應基礎設施環境變化,隨時靈敏響應內外部威脅和風險。
* 數字供應鏈安全的三大關鍵特性
山河依舊,技為長
一個基線、三大環節,揭秘「自有SBOM格式四大特點」
站在數字供應鏈安全全流程治理與運營的視角,子芽將整個數字供應鏈安全劃分為“供應鏈引入、生產鏈、供應鏈交付運營”三大環節。對應由ASOC、SBOM、TMA、SAST、SCA、IAST、DRA、RASP、PTE等技術手段予以支撐。子芽強調稱,在整個過程中敏捷安全將是未來的主要趨勢,其中SBOM也是數字供應鏈安全的關鍵部分。
* DSDX (DigitalSupply-chain Data Exchange)
子芽指出,SBOM即軟件物料清單是建立數字供應鏈的安全基線,將在輔助安全設計評審,交叉安全測試和動態發布等環節發揮重要作用。大會上子芽發布了中國首個數字供應鏈SBOM格式——DSDX(Digital Supply-chain Data Exchange )。DSDX由OpenSCA社區主導發起,匯聚權威研究機構、甲方客戶、安全廠商力量共同適配中國企業實戰化應用場景。
* DSDX解讀
據介紹,中國首個數字供應鏈安全格式(DSDX)將以企業級實戰化應用實踐,其目標是成為數字供應鏈安全治理與運營的核心技術抓手,以助力行業從軟件供應鏈安全過渡到數字供應鏈安全時代。國內首個自有SBOM格式-DSDX v1.0的核心特點包括全場景覆蓋、強大的兼容性、供應鏈數據溯源和強大的自身安全性。
* 國內首個自有SBOM格式-DSDX v1.0
全場景覆蓋:涵蓋源碼、二進制、鏡像等不同階段的物料清單,對組件、漏洞、許可證風險全面覆蓋;
強大兼容性:兼容SPDX、CycloneDX、SWID國際標準和國內標準,但不止于主流規范,在最小元素集基礎上擴展其他元素;
供應鏈數據溯源:涵蓋數字供應鏈流轉信息、可追溯文件、組件,依賴的過程變化及其來源,保證SBOM的修改全程可追溯;
強自身安全性:物料清單本身滿足機密性要求和完整性要求,具備真實性校驗、防篡改等保護機制。
兩個本質、三個關鍵能力,構筑「開源技術生態四大突破」
為什么要做開源?開源的本質是群智創新和共生進化。子芽在演講環節再次強調了開源的重要性,并且著重指出面對著不確定性的未來,開源的群智創新模式將是數字供應鏈發展的力量源泉。
* 關于OpenSCA
子芽分享道,SCA(軟件成分分析)作為數字供應鏈安全管理入口,管控數字供應鏈在引入、生產、分發、交付環節全流程數字資產的安全風險;同時結合供應鏈安全情報,進行數字供應鏈組件資產的持續性風險評估和緊急漏洞事件的快速響應;再根據清單進行物料成分一致性確認和開源風險治理,幫助建立DevSecOps敏捷安全體系和SDL安全開發體系;同時輸出透明化的數字應用組件資產及風險清單,針對性建立安全可信的SBOM庫。
源碼SCA、二進制SCA、運行時SCA被視為SCA的三大關鍵技術能力,演講中子芽強調了懸鏡安全的OpenSCA技術正是具備以上三大關鍵能力,才能更好地為數字供應鏈提供安全保障。
SCA技術作為數字供應鏈開源治理的關鍵入口,有著全新的內涵:一、源碼級SCA特別是代碼片段級同源檢測技術在代碼自研率分析、全球開源風險溯源等場景有越來越多的應用;二、二進制SCA憑借直接分析制品成分及風險,正成為供應鏈安全審查的關鍵技術;三、運行時SCA憑借精準識別數字應用運行加載時真正使用到的第三方組件及依賴,在應用測試和常態化安全運營場景有著更廣泛的應用;四、以DSDX為代表的SBOM作為數字供應鏈安全治理的重要抓手,將在整個供應鏈引入、生產、交付等關鍵環節的開源治理實踐中發揮著重要作用;四、供應鏈安全情報特別是開源治理情報和供應鏈投毒情報的應用將極大程度提升開源治理的先發性和實效性;許可證合規治理在業務出海和國內監管合規治理上開始受到行業越來越高的重視。
在隨后的演講中,子芽全面分享了OpenSCA社區歷年的發展和成長,包括社區的重要動作、開源項目的技術沉淀和獲得的一系列榮譽等。同時他還分享了OpenSCA的技術生態,包括可分別獨立使用的OpenSCA-cli、OpenSCA SaaS、源鑒SCA企業版以及共享的關鍵技術引擎,也進一步地介紹了豐富的插件生態,以及新近開放的多數據源比對能力和多格式漏洞庫支持能力等關鍵特性。據子芽表述,OpenSCA已具有鮮明的自身特色和能力,在行業內處于領先地位。
回到演講主題,子芽又介紹了基于OpenSCA開源社區和開源項目目前正在進行的工作,其中代碼疫苗補丁防御、開源威脅情報、全鏈路SBOM追蹤以及持續的社區生態共建是四個主要方向,進而用開源的力量,從源頭護航數字供應鏈安全。
OpenSCA技術生態
2023數字供應鏈安全大會(DSS 2023)由懸鏡安全主辦,ISC互聯網安全大會組委會、中國軟件評測中心(工業和信息化部軟件與集成電路促進中心)、中國信息通信研究院云計算與大數據研究所、CCF計算機安全專業委員會、北京信息化協會信息技術應用創新工作委員會、OpenChain聯合發起,OpenSCA開源社區、XRASP代碼疫苗社區協辦。
通過本次大會的成功舉辦,懸鏡安全旨在指出傳統的軟件供應鏈安全已演進成為數字供應鏈安全,并成為企業數字化轉型過程中重點關注的新焦點。此次各領域頂尖智慧的碰撞,將加快落地數字供應鏈安全治理工作,提升數字供應鏈安全風險的發現能力、分析能力、處置能力、防護能力以及數字供應鏈安全管理水平,為供應鏈上下游企業提供安全新方案與整體建設思路。
* OpenSCA能力棧
