【报名】开发安全与软件供应链安全

【报名】开发安全与软件供应链安全 | 6月16日TF61

2022 年 6 月 12 日 量子位

在软件定义一切的时代，软件也存在供应链，也有供应链安全问题，2020年底的Solarwinds Orion被植入后门、2021年底Log4J2漏洞事件为我们敲响了警钟，如何让开发出来的软件更安全，如何保证软件供应链安全，是全世界都在关注的焦点。6月16日，欢迎报名！

为工程师提供顶级交流平台
CCF TF第61期
主题开发安全与软件供应链安全
2022年6月16日 19:00-21:00

长按识别或扫码报名
报名链接：https://conf.ccf.org.cn/TF61

传统的软件开发模型，是在软件开发基本完成，已经经过功能和性能测试的情况下再交给安全团队做安全性测试的，但在工期的压力下，安全性的改善往往会被项目工期所折衷。但随着数字化转型的进行，因为软件的安全问题而造成的损失越来越大。近年来有“安全左移”的概念提出，即在软件开发早期，在设计和编码阶段即进行软件安全的管理，2017年DevSecOps名词诞生。

在90%以上的软件开发会用到开源软件模块，以及软件开发也采用第三方组件的情况下，软件安全性缺陷会有传导性，要想做到自己开发出的软件是安全的，必须要对软件供应链做安全管理。

本期邀请到悬镜安全创始人子芽（张涛）、默安科技董事副总裁沈锡镛、墨云科技安全研究员和其正（马伦杰）三位从事开发安全与软件供应链安全的专家来和大家分享他们对开发安全和软件供应链安全的观点和实践经验。

会议安排

TF61：开发安全与供应链安全主持人：谭晓生 CCF TF安全SIG主席，CCF 副秘书长，北京赛博英杰科技有限公司董事长，正奇学院院长
时间	主题	讲者
19:00-19:10	活动介绍及致辞	谭晓生 CCF TF安全SIG主席，CCF 副秘书长，北京赛博英杰科技有限公司董事长，正奇学院院长
19:10-19:40	针对APT攻击的软件供应链安全体系建设与未知风险控制	和其正（马伦杰）墨云科技安全研究员
19:40-20:10	数字化转型期下的开发安全体系建设和软件供应链治理	沈锡镛默安科技董事、副总裁
20:10-20:40	云原生场景下软件供应链风险治理技术浅谈	子芽（张涛）悬镜安全创始人&CEO
20:40-20:55	参会者提问互动	谭晓生
20:55-21:00	活动总结	谭晓生

所属SIG

CCF TF安全

会议主席

谭晓生

CCF TF安全SIG主席，CCF 副秘书长，北京赛博英杰科技有限公司董事长，正奇学院院长

个人简介：谭晓生，北京赛博英杰科技有限公司创始人，正奇学院创办人，前360集团技术总裁、首席安全官，曾任MySpace中国首席技术官、首席运营官，雅虎中国首席技术官。历年招聘培养的数千名学生广泛分布在各大互联网公司和安全企业，在互联网技术圈和安全圈中被称为“谭校长”。

特邀讲者

和其正（马伦杰）

墨云科技安全研究员

主题：《针对APT攻击的软件供应链安全体系建设与未知风险控制》

主题简介：在APT软件供应链安全中，一般是对企业上下游的软件供应商进行供应链攻击，而目前针对此种类型攻击往往没有有效的防御方式。同时面对第三方组件爆发的新风险，安全从业人员往往是疲于应急，不能有效的降低应急事件中的时间与成本。本次分享主要围绕针对外部软件供应链安全及降低重复应急响应事件展开：通过外部SCA分析能力来进行软件成份分析，同时融入自动化漏洞挖掘平台与自动化渗透测试平台结合SCA输出的软件物料清单搭建企业自身的威胁风险分析库。以此来进行软件供应链威胁与未知风险管控。

个人简介：墨云科技安全研究员，前国信安安全讲师，具有丰富的甲方与乙方工作经验，一直以来从事信息安全，网络安全，应用安全等多个安全领域，参与并主讲四川大学，成都理工大学，桂林电子科技大学等多所高校信息安全与网络安全教育培训。

沈锡镛

默安科技董事、副总裁

主题：《数字化转型期下的开发安全体系建设和软件供应链治理》

主题简介：数字化转型背景下，各行业互联网业务数量激增，快速迭代，重要性增强；研发框架转向Devops，低代码、爆发式API、开源代码引入，自研比例急剧下降；IT架构微服务化、集群化、容器化，各行业的业务模式、组织架构、技术体系等面临剧烈震荡、软件作为数字化转型的承载方式与业务深度融合，厘清软件和开发安全的关系、定义和构建可应对内部多样化开发模式、外部攻防演练常态化、合规深入应用生产等挑战的开发安全体系，探索有行业特点和融入研发基础设施的软件供应链风险治理路径，是拥抱业务数字化转型的“大安全”核心要务。

个人简介：全国证监会信息安全专家，英国标准协会全球专家；“可信云联盟”联合发起人；曾任阿里经济体创新事业群首席风险官、阿里云全球合规、标准总监；拥有全国最高安全等级互联网业务大安全建设和运营经验，阿里经济体安全合规业务奠基人。

子芽（张涛）

悬镜安全创始人&CEO

主题：《云原生场景下软件供应链风险治理技术浅谈》

主题简介：近年来，软件供应链安全事件频发，对于用户隐私、财产安全乃至国家安全造成重大威胁。软件成为社会运转组件的同时，软件供应链安全直接关系着关键基础设施和重要信息系统安全，保障软件供应链安全相关技术和产品受到越来越多的关注。作为业界DevSecOps敏捷安全领导者，悬镜专注于以AI人工智能技术为核心的DevSecOps软件供应链持续威胁一体化检测防御，沉淀出诸如“代码疫苗”、“积极防御”等自主原创发明的关键应用安全技术，探索出一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系，主要覆盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全检测防御体系。

演进内容框架：

云原生时代的软件供应链安全形势
软件供应链安全风险治理思路
软件供应链风险治理实践
软件供应链安全技术演进趋势

个人简介：悬镜安全创始人兼CEO，中国信通院软件供应链安全社区首席安全专家，拥有10年以上前沿安全技术研究实践经验，具有国际视野和工程综合创新能力的高端科技领军人才，长期从事AI深度学习算法在持续威胁评估领域的研究，拥有多项原创发明专利授权，曾经承担国家级重大网络安全项目或科研项目，转化科技成果并对网络安全产业发展做出一定贡献，首创的“DevSecOps智适应威胁管理体系”已演进至第三代，在产业界影响颇深。

本年度安全SIG活动安排如下，敬请关注：