2‍021年7月21日，由中国信息通信研究院（CAICT）指导、悬镜安全主办、腾讯安全协办的中国首届DevSecOps敏捷安全大会（DSO 2021）在北京圆满举办。大会以“安全从供应链开始”为主题，寓意安全基础决定“上层建筑”，在云原生环境下为软件供应链注入覆盖全流程的安全属性，从源头做风险治理。

在大会现场，来自本届大会的主办方——悬镜安全的创始人兼CEO子芽以“DevSecOps敏捷安全发展趋势”为主题，围绕DevSecOps理念下相关技术的趋势做了分享，并且正式推出了DevSecOps敏捷安全技术金字塔2.0版本。

悬镜安全创始人兼CEO 子芽

悬镜安全为何要举办国内首个专注于DevSecOps领域的大会？

子芽表示，DevSecOps理念从2012年被提出到现在已发展多年，作为DevSecOps理念的倡导者，“悬镜安全一直期望能够搭建一个可以将行业内的安全厂商、行业用户、产业智库以及专业媒体等群体聚合起来的平台。大家可以在这里一同探讨前沿技术、展示研究成果、交流实践经验，共同打造更为贴近各行业需求的整体解决方案。”

为何安全要从供应链开始？

作为首届DevSecOps敏捷安全大会，为何会选择以“安全从供应链开始”为主题呢？按照常规的理解看，供应链安全无疑是近一段时间以来的热点话题，从2020年底引起全球关注的SolarWinds软件供应链攻击事件，再到2021年下半年伊始爆发的Kaseya遭攻击并导致受影响企业超千家的事件，都让软件供应链安全成为关注的焦点。

表面看起来似乎仅仅是对当下热点的追踪，但通过子芽的发言能感受到的是——绝非如此。

关于“安全从供应链开始”这个主题，子芽分别从内因和外因两个方面进行了阐述。

从内因的角度看，在当前这个数字经济时代下，软件定义万物，业内普遍认为安全应内生于业务发展的过程中，DevSecOps作为其中的一个细分领域，广泛被理解为开发安全，但在悬镜安全看来，DevSecOps不仅仅包含“左移”的安全开发体系建设，还包含在产品上线后的常态化运营过程中的敏捷安全建设。此外，在当前的环境下，软件大多都不是纯自研的，而是通过“组装”的方式诞生，其中有接近80-90%的成分都来自于开源组件，这也让开源软件成为现代软件开发最基础的原材料。因此，安全在软件供应链中的地位无疑是不容忽视的重要环节。

说到这里，子芽特别强调到，当前行业中一个普遍的观点认为DevSecOps仅仅只是开发安全，但悬镜安全对此持否定态度，在子芽看来，DevSecOps是开发、运营一体化的整体敏捷安全，贯穿于从开发到运营的整体业务流程中，而开发安全只是其中的一部分。

从外因的角度看，在恶意攻击朝着自动化趋势发展的情况下，技术不断升级令攻防对抗也在不断地升级，利用软件供应链发起攻击的趋势也愈发明显，包括前文所述的与美国相关的软件供应链攻击的安全事件给我们带来了很多的警示，其中最关键的则是软件供应链的安全甚至会直接影响到国家的安全。

如上所述，从内、外两方面因素考量，软件供应链安全都应是当前最值得关切的重点。在这样的背景下，悬镜安全特意选择了“安全从供应链开始”作为首届DevSecOps敏捷安全大会的主题。

基于威胁的安全测试将是未来值得关注的方向

子芽分享到，混源软件开发已经成为现代应用主要软件开发交付方式，在软件成分构成中，来自于第三方的开源框架或组件所占比重较高，在这种情况下，这些开源代码及组件所处的地位就等同于基础设施，因而它的风险也成为了现代应用软件安全风险中不可忽视的一部分。

在诸多风险中，子芽特别强调了异常行为代码的风险，因为它在现在整个软件供应链攻击中占据了较高比例。对此他基于今年RSAC 2021创新沙盒大赛的冠军——Apiiro的技术方案分享了自己的体会。

Apiiro的方案中更加关注的是人的安全风险和代码风险的结合，人的因素是衡量安全的一个基本尺度。子芽举例，一般情况下我们可以将企业内的开发人员分为三类：

第一类属于正常类型的员工，在遵守企业所制定的规则方面都做的比较到位。

第二类属于非正常类型的员工，本身就很有可能是一个潜在的攻击者，而企业对他的恶意目的并不了解。

第三类可能会有些常见，就是缺乏安全开发素养的员工。

子芽在分析中指出，在不幸遇到上述的第二类员工时，那么就有可能会出现在上线前提交的代码中，一些高权限、架构级的代码被修改，甚至是被放入恶意代码，一旦这些代码正常通过了编译、构建并最终被发布，就会使其潜伏在用户的环境之中，当在某一时间点被触发时，无论是破坏力还是影响力都会是非常大的。

同时，如果遇到第三类安全开发素养比较低的员工，为了赶研发进度，很有可能会忽视自己所使用的框架库中存在何种安全缺陷，从而制造出潜在的安全风险，在某种程度上也会给企业增加在未来遭受软件供应链攻击的可能性。

因此，对于异常行为代码的检测就是基于威胁的安全测试，在子芽看来，这将是未来一个值得重点关注的方向。

DevSecOps敏捷安全技术金字塔2.0版本

DevSecOps敏捷安全技术金字塔2.0版本是子芽本次分享中的重头戏，也是悬镜安全一项新的研究成果。

对于熟悉悬镜安全或者是DevSecOps的朋友来说，相信对于这个‍DevSecOps敏捷安全技术金字塔并不陌生，早在去年下半年，悬镜安全就在《DevSecOps行业洞察报告》中发布了1.0版本，而本次的2.0版本，做了哪些升级呢？

在应用实践部分，悬镜安全将其认为在自动化和敏捷效果两方面较为突出的一些技术应用纳入第一层，在保留了OSS/SCA软件成分分析及IAST之外，此前在第二层的容器安全（Container Security）被挪至第一层。另外，BAS（入侵与攻击模拟）作为新的内容加入了金字塔的第一层。此前在第一层的EDR则进入到了传统建设层。

在第二层中，新加入的AVC/VPT是被子芽和悬镜安全非常看好的一项技术，子芽表示，“如果只强调单一工具的能力，工具之间形成了数据和能力检测的孤岛，效果必然不好。通过AVC/VPT，可以把各工具在不同阶段所发现的一些安全弱点、漏洞关联起来，并结合业务资产进行优先级的排序，这将会对安全测试的落地起到较大的辅助作用。”

在以往同悬镜安全的交流中，安全419能感受到他们对于第三层中的RASP所表现出的高度重视，在谈到这里时，子芽着重分享了自己对RASP应用的一些感受。

早在2014年，业界就已经关注到RASP这项新的技术，而它之所以未能被很好的应用，在子芽看来，主要在于其应用方向被广泛视作一个类WAF的产品，拿它去和主机WAF对比网络级的防护过滤效果，再加上它的侵入性比较强，对业务会产生一定的影响，这些都是令RASP在此前未能大规模应用的原因。

而在新的环境下，通过IAST工具，可以做到在每天build（编译）十几次的情况下发现其中的安全风险，一方面可以通过平台将风险报给管理部门，另一方面仍需要一个解决该风险的结果——是阻断该流程？还是允许它继续上线？在这样的场景中，很多用户无法做到实时对应用代码进行修复，而RASP在这时就可以体现出它的价值——作为一种出厂的威胁免疫和热补丁，对现有方案会是一个较好的补充。随后子芽也做了一个预言——RASP将会在明年的一些重要活动中大放异彩。

子芽在这个环节还谈到了关于DevSecOps实践中的体会，主要有以下四点：

１.DevSecOps的核心愿景是构建信任与弹性的研发、运营一体化环境，从而可以让组织敏捷、安全且充分地参与到软件供应链建设和保障中。

２.自动化、敏捷和情境化是DevSecOps建设的技术基础，不仅要求全量及增量检测做到高精度且低误报，同时还需要具备业务透视及数据系统分析的能力。

３.DevSecOps不仅仅关注应用本身的风险，还应关注CI/CD管道、容器、API等应用基础设施的安全。此外，人为因素所带来的异常风险也应予以重点关注。

４.技术正驱动着安全从左移（安全前置）到无处不移演进，同云原生安全技术进入到更为深度融合的阶段，这会成为组织上云的重点实践要求。

运行时的情境安全将成应用安全的下一个重要方向

子芽在这里总结道，在过去的网络安全技术变革中，从边界安全演进到主机安全，是因为后者相对前者有着更低的侵入性，而且可以看到更深层的异常行为，能够为安全带来更高的价值。

那么相比之下，通过运行时的情境感知能力可以看到的是完全透明的流量，可以实现业务透视，在这样的技术优势面前，悬镜安全认为运行时的情境安全会成为应用安全的下一个重要方向。

在演讲的最后，子芽也留下了寄语——上善若水，水利万物而不争，期待能够从首届DevSecOps敏捷安全大会（DSO 2021）开始，与国内外的行业创新力量一起携手共建一个普惠的DevSecOps生态。