毕尔巴鄂对阵皇家社会:两支近邻球队将于西甲联赛 “巴斯克德比”中为捍卫荣耀而战贝壳第三季度营收226亿元 经调净利润17.8 亿元 同比下降17.46%AI营销,让科技巨头尝到了大模型商业化的甜头安恒信息范渊在乌镇峰会谈AI:以工具视之、以工具用之、以工具治理之诺基亚与微软再合作,为 Azure 数据中心供货延长五年天岳先进发布业界首款 300mm(12 英寸)N 型碳化硅衬底三星介绍内部安全团队 Project Infinity 攻防演练项目,高效修复 Galaxy 手机平板漏洞上海市将推进低空飞行服务管理能力建设,2027 年底前累计划设相应航线不少于 400 条岁末,海尔给您备好一套“小红花”为什么说Q10K Pro是今年最值得入手的电视?看完这几点就明白了!“小墨方·大不凡”!Brother“小墨方”系列彩喷一体机全新上市黄仁勋:AI智能需求强劲,“物理定律”限制英伟达芯片增长诺基亚与微软再合作,为Azure数据中心供货延长五年国家数据局:到2029年基本建成国家数据基础设施主体结构中国已发展成为全球最大的互联网市场,拥有全球最多的网民和移动互联网用户中国铁塔:计划按照10:1的比例合股美国FCC正式划定5.9GHz频段用于C-V2X技术在AI领域奋起直追!苹果要对Siri大革新 2026年正式发布日本机构公布量子专利榜单:本源量子、国盾量子位居全球第1中国联通:拟向华为、中兴展开5G网络设备竞争性谈判采购
  • 首页 > 即时新闻

    DSS2023硬核成果 | 悬镜业内首次定义数字供应链安全

    2023年08月25日 17:48:28   来源:中文科技资讯

      历史的车轮总是惊人相似。我们不是巨人,我们只不过是站在巨人的肩膀上,面对百年未有之大变局的历史机遇,放眼世界经济发展新局势,立足国家网络安全发展新态势,作为中国数字供应链安全的先驱者和开拓者,擎起数字安全时代的大旗,擘画开源驱动下数字安全发展新蓝图。

      NEWS【重磅消息】

      近日,2023数字供应链安全大会(DSS 2023)在国家会议中心成功举办,大会以“开源的力量”为主题,致力于打造以“数字供应链安全”技术论道、产业变革、创新发展为核心交付价值,立足世界、规模宏大、影响力深远的超千人安全盛会。会上,悬镜安全创始人兼CEO、DSS大会执行主席子芽分享题为“开源的力量”主旨演讲,在业界首次讲述了数字供应链的新变化,定义数字供应链安全的新内涵,同时重点发布并解读中国首个数字供应链SBOM格式(DSDX),并围绕演讲主题对悬镜安全最新开源安全技术应用发展进行了精彩分享。

      两个共识、四跃迁,解读「数字供应链安全三大特性

      数字时代,万物可编程,数字技术是新一代信息技术的灵魂。“数字应用正成为社会运转的基本组件”、“现代应用都是组装的而非纯自研”是数字应用的两个安全共识,子芽指出,进入数智时代,数字技术成为新一代信息技术的灵魂,云服务、IT托管服务等颠覆了传统产品供应关系,正成为数字经济发展的基础设施。同时,有数据表明当前平均每个数字应用的开源成分都接近78%-90%,混源开发成为主要模式,开源风险治理的迫切性愈发重要。

      随着数字时代的到来,我们熟知的软件供应链正向数字供应链跃迁式演进,溯其根源,主要在以下四个方面发生着深刻地变化:一、在数字应用编程开发方式上,正从闭源开发向内源开发和混源开发演进;二、在应用协作发布方式上,正从瀑布式开发向敏捷开发和DevOps研运一体化演进;三、在应用架构设计上,正从单体应用向微服务和Serverless架构演进;四、在基础设施运行环境上,正从物理机向虚拟化和容器化演进。

      * 数字供应链有了新的内涵

      子芽在演讲中进一步定义了什么是数字供应链,其意在梳理数字时代之下供应链的全新关系,以及进一步明确网络安全发展演进,即从软件产品或服务到数字应用,数字供应链定义扩大了原有软件供应链的内涵,其将数字应用、基础设施服务、供应链数据统一规划到数字供应链组成当中,这也是业内首次明确数字供应链的组成。基于此,数字应用安全、基础设施服务安全、供应链数据安全即成为数字供应链安全的重点内容。

      * 数字供应链安全的重点内容

      子芽进一步指出了数字供应链安全的三大关键特性,分别是“共生自进化、内生自免疫、敏捷自适应”,共生自进化对应为业务发展与安全建设共生,延伸为开源、内源和混源共生发展,研发、安全和运营角色在决策上共担安全风险;内生自免疫对应为防御前置,用安全左移的方法实现源头风险治理,并以威胁模拟实现持续安全度量;敏捷自适应对应为敏捷适应业务增长和迭代,使安全和业务融合又解耦,并适应基础设施环境变化,随时灵敏响应内外部威胁和风险。

      * 数字供应链安全的三大关键特性

      山河依旧,技为长

      一个基线、三大环节,揭秘「自有SBOM格式四大特点」

      站在数字供应链安全全流程治理与运营的视角,子芽将整个数字供应链安全划分为“供应链引入、生产链、供应链交付运营”三大环节。对应由ASOC、SBOM、TMA、SAST、SCA、IAST、DRA、RASP、PTE等技术手段予以支撑。子芽强调称,在整个过程中敏捷安全将是未来的主要趋势,其中SBOM也是数字供应链安全的关键部分。

      * DSDX (DigitalSupply-chain Data Exchange)

      子芽指出,SBOM即软件物料清单是建立数字供应链的安全基线,将在辅助安全设计评审,交叉安全测试和动态发布等环节发挥重要作用。大会上子芽发布了中国首个数字供应链SBOM格式——DSDX(Digital Supply-chain Data Exchange )。DSDX由OpenSCA社区主导发起,汇聚权威研究机构、甲方客户、安全厂商力量共同适配中国企业实战化应用场景。

      * DSDX解读

      据介绍,中国首个数字供应链安全格式(DSDX)将以企业级实战化应用实践,其目标是成为数字供应链安全治理与运营的核心技术抓手,以助力行业从软件供应链安全过渡到数字供应链安全时代。国内首个自有SBOM格式-DSDX v1.0的核心特点包括全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。

      * 国内首个自有SBOM格式-DSDX v1.0

      全场景覆盖:涵盖源码、二进制、镜像等不同阶段的物料清单,对组件、漏洞、许可证风险全面覆盖;

      强大兼容性:兼容SPDX、CycloneDX、SWID国际标准和国内标准,但不止于主流规范,在最小元素集基础上扩展其他元素;

      供应链数据溯源:涵盖数字供应链流转信息、可追溯文件、组件,依赖的过程变化及其来源,保证SBOM的修改全程可追溯;

      强自身安全性:物料清单本身满足机密性要求和完整性要求,具备真实性校验、防篡改等保护机制。

      #FormatImgID_10#

      两个本质、三个关键能力,构筑「开源技术生态四大突破」

      为什么要做开源?开源的本质是群智创新和共生进化。子芽在演讲环节再次强调了开源的重要性,并且着重指出面对着不确定性的未来,开源的群智创新模式将是数字供应链发展的力量源泉。

      * 关于OpenSCA

      子芽分享道,SCA(软件成分分析)作为数字供应链安全管理入口,管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险;同时结合供应链安全情报,进行数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应;再根据清单进行物料成分一致性确认和开源风险治理,帮助建立DevSecOps敏捷安全体系和SDL安全开发体系;同时输出透明化的数字应用组件资产及风险清单,针对性建立安全可信的SBOM库。

      源码SCA、二进制SCA、运行时SCA被视为SCA的三大关键技术能力,演讲中子芽强调了悬镜安全的OpenSCA技术正是具备以上三大关键能力,才能更好地为数字供应链提供安全保障。

      SCA技术作为数字供应链开源治理的关键入口,有着全新的内涵:一、源码级SCA特别是代码片段级同源检测技术在代码自研率分析、全球开源风险溯源等场景有越来越多的应用;二、二进制SCA凭借直接分析制品成分及风险,正成为供应链安全审查的关键技术;三、运行时SCA凭借精准识别数字应用运行加载时真正使用到的第三方组件及依赖,在应用测试和常态化安全运营场景有着更广泛的应用;四、以DSDX为代表的SBOM作为数字供应链安全治理的重要抓手,将在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用;四、供应链安全情报特别是开源治理情报和供应链投毒情报的应用将极大程度提升开源治理的先发性和实效性;许可证合规治理在业务出海和国内监管合规治理上开始受到行业越来越高的重视。

      在随后的演讲中,子芽全面分享了OpenSCA社区历年的发展和成长,包括社区的重要动作、开源项目的技术沉淀和获得的一系列荣誉等。同时他还分享了OpenSCA的技术生态,包括可分别独立使用的OpenSCA-cli、OpenSCA SaaS、源鉴SCA企业版以及共享的关键技术引擎,也进一步地介绍了丰富的插件生态,以及新近开放的多数据源比对能力和多格式漏洞库支持能力等关键特性。据子芽表述,OpenSCA已具有鲜明的自身特色和能力,在行业内处于领先地位。

      回到演讲主题,子芽又介绍了基于OpenSCA开源社区和开源项目目前正在进行的工作,其中代码疫苗补丁防御、开源威胁情报、全链路SBOM追踪以及持续的社区生态共建是四个主要方向,进而用开源的力量,从源头护航数字供应链安全。

      OpenSCA技术生态

      2023数字供应链安全大会(DSS 2023)由悬镜安全主办,ISC互联网安全大会组委会、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委员会、北京信息化协会信息技术应用创新工作委员会、OpenChain联合发起,OpenSCA开源社区、XRASP代码疫苗社区协办。

      通过本次大会的成功举办,悬镜安全旨在指出传统的软件供应链安全已演进成为数字供应链安全,并成为企业数字化转型过程中重点关注的新焦点。此次各领域顶尖智慧的碰撞,将加快落地数字供应链安全治理工作,提升数字供应链安全风险的发现能力、分析能力、处置能力、防护能力以及数字供应链安全管理水平,为供应链上下游企业提供安全新方案与整体建设思路。

      *OpenSCA能力栈

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

    [No. H002]
    分享到微信

    即时

    新闻

    明火炊具市场:三季度健康属性贯穿全类目

    奥维云网(AVC)推总数据显示,2024年1-9月明火炊具线上零售额94.2亿元,同比增加3.1%,其中抖音渠道表现优异,同比有14%的涨幅,传统电商略有下滑,同比降低2.3%。

    企业IT

    重庆创新公积金应用,“区块链+政务服务”显成效

    “以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。

    3C消费

    华硕ProArt创艺27 Pro PA279CRV显示器,高能实力,创

    华硕ProArt创艺27 Pro PA279CRV显示器,凭借其优秀的性能配置和精准的色彩呈现能力,为您的创作工作带来实质性的帮助,双十一期间低至2799元,性价比很高,简直是创作者们的首选。

    研究

    中国信通院罗松:深度解读《工业互联网标识解析体系

    9月14日,2024全球工业互联网大会——工业互联网标识解析专题论坛在沈阳成功举办。