网络安全行业的盛会RSAC2022刚刚落幕，不过关于大会创新沙盒比赛以及相关议题的讨论依旧火热。ISC互联网安全大会特别策划了直击RSAC2022专题报道系列栏目，并邀请悬镜安全创始人&CEO子芽参与DevSecOps专题云端讨论并解密创新沙盒冠军为何花落Talon公司。一同参与分享真知灼见的还有中兴通讯开源合规&安全治理总监项曙明、平安壹钱包DevSecOps负责人汪永辉以及担任主持人的数世咨询合伙人&高级分析师刘宸宇。

随着DevOps（研发运营一体化）受到越来越多企业的青睐和使用，DevSecOps这一适配的安全理念和文化自是水涨船高。DevOps Connect：DevSecOps会议已连续6年成为RSAC的重要活动。最近四年，每年都有DevSecOps赛道厂商入围RSAC创新沙盒大赛十强。前不久，知名咨询公司IDC还发布了《IDC Innovators: 中国DevSecOps技术，2022》报告。种种迹象表明，DevSecOps依然是当下最热门的安全话题之一，是保障企业数字化转型和敏捷业务交付的重要一环。

不过，如何推动DevSecOps文化在组织内部落地生根，如何推进DevSecOps工具链升级从而应对复杂多变的安全环境，如何在软件供应链安全和云原生安全等新兴场景下高效实践DevSecOps，是安全厂商和企业用户当下共同面临的巨大挑战。本次专题对话，嘉宾们对相关问题做了独到且细致的解答。

创新沙盒冠军为何是它？出乎意料却又在情理之中

对话伊始还是先聚焦RSAC创新沙盒大赛，作为“安全圈的奥斯卡”，其一直以来都是RSAC上最具人气和影响力的活动，是网络安全创新领域的风向标。

出乎大多数人的意料，本届创新沙盒大赛的冠军并不是10强中占了4席且呼声最高的云原生安全赛道的公司，而是花落Talon这一研究浏览器安全的厂商。如何分析背后原因？主持人刘宸宇抛出了大家关心的问题。

子芽表示，Talon的核心技术产品是一款面向企业的安全浏览器Talon Work，它的获奖是对大会主题“Transform（转型）”的契合和呼应。在当前远程办公、SaaS化、业务和组织上云的大环境下，Talon Work十分适应新的生产力场景，满足混合办公、解放生产力的需求。此外，它的创新技术，核心是两个方向：1. 包括浏览器隔离、安全配置、数据篡改和泄露防护等在内的浏览器安全加固；2. 零信任相关的访问控制和集中管控。还有一点，从去年开始，RSAC创新沙盒的评选标准就有了稍许转变，不再一味推崇技术本身的创新，开始关注时代特点和场景创新下的成果。

刘宸宇十分赞同子芽的观点，他也认为近几年创新沙盒大赛评委越来越务实，比如疫情大背景下的远程浏览器和VDI虚拟桌面等，它们给用户带来了降本增效的切实成果，就会被纳入考量之中。

汪永辉从自己所处企业近来的状况谈起，员工因无法现场办公而使用云桌面。当安全团队进行红蓝对抗、攻防演练时，他们发现通过攻击利用云桌面就能破解员工存储在浏览器中的账号密码，获取权限，进一步获得有价值或者敏感信息。从用户的角度来看，Talon解决了当下实际痛点，获得冠军也是理所应当。

项曙明则是将目光放在入选十强的所有公司上，它们的研究方向覆盖云原生安全、软件供应链安全、API安全、零信任、浏览器安全等多个方面，这正说明安全已然涉及软件应用相关的全领域。

随后，子芽重点提到了十强中一家在DevSecOps软件供应链安全方向做出创新成果的公司Cycode。他表示，从2019年开始，RSAC创新沙盒大赛对开发安全和软件供应链安全越发关注。2019、2020连续两年入围10强的ShiftLeft公司，关注的是数字化应用开发过程中的成分分析技术。2021年冠军Apiiro公司，研究的是DevSecOps软件供应链安全，首次将基于AI的异常行为检测技术引入到企业的安全开发过程管理当中，更加关注于软件开发过程中的增量变更行为，主动识别各类潜在的软件开发环节的供应链安全风险，防御SolarWinds这类供应链攻击，并打破了人们对数字化应用风险面的传统认知，在Web通用漏洞、业务逻辑漏洞、开源成分漏洞之外增加了异常行为代码这一风险。

今年入围的Cycode公司，其创新成果与Apiiro相近，不同的是前者能从整个软件供应链安全的角度，对底层架构、基础设施环境、上层应用进行系统性的检测和防御。Cycode具备夺冠的实力，但也许是出于平衡的考虑，评委最终选择了Talon。

软件供应链安全发展的驱动力是什么？追求安全可信，一直在路上

身为中兴通讯开源合规&安全治理总监的项曙明，致力于帮助企业打造安全可信的软件供应链。在他看来，对软件供应链安全关注度的逐年上升，一定程度上是由于合规驱动，比如开源许可证合规，但根源还是在于安全需求的驱动。这里所提到的安全与通过检测工具保障的开发安全不尽相同，而是在传统的安全管控中新增一个安全领域。

过往在对软件进行配置管理时，只对整个软件版本进行定义。但随着混源开发方式成为主流，软件中90%以上的成分是开源或者第三方组件，伴随这些组件的引入而来的安全问题开始慢慢浮现。大家开始意识到需要对软件中的开源或者第三方成分进行精细化管理，形成SBOM（软件物料清单），确保企业自身软件供应链的安全可信。

如何实现对软件供应链的有效管控呢？项曙明认为有两种能力非常关键：企业的管理能力和人员的技术能力。通过提升这两种能力去共同保障软件供应链安全。

如何传播DevSecOps理念？道阻且长，行则将至

主持人刘宸宇提到，好几位演讲者在今年的RSAC上谈及DevSecOps时都强调它是一种理念和文化，不是单纯的某种技术或产品。企业靠一味地购买安全能力是无法最终实现DevSecOps的，更需要做的是落地实践，让DevSecOps在内部形成文化氛围，使它根植在每一位员工的内心中。

项曙明坦言，推进DevSecOps是一个漫长的过程。在他看来，DevSecOps包含一整套从研发到运营的流程，能有效地将公司不同领域的人串联起来。而对公司旧有流程进行改进，需要由上及下进行理念灌输，并通过适当的方式去驱动大家改变原有的工作习惯，这一过程自然会面临不小的阻力。

汪永辉作为平安壹钱包DevSecOps负责人，对此深有体会。为了传播DevSecOps，起初他一边在企业内部积极宣传网络安全相关法律，给同事灌输安全的重要性，一边积极融入企业各部门各种会议，提醒安全注意点。在说服同事支持自己安全工作的时候，有一个沟通诀窍，就是一定要以对方所关心的为切入点，工作就能相对顺利地展开。一旦达成共识、获得信任，当其他部门开展新项目时，就自然而然会让安全团队介入，久而久之，在安全人员的帮助下便形成了对应的安全解决方案。

但汪永辉强调，这并不代表DevSecOps文化已经在企业内部形成。成员数量有限的安全团队无法覆盖企业所有的安全问题，所以最终要实现的理想情况是企业内部无论是开发还是运维抑或是其他与安全相关的人员，人人都是安全专家，对自身业务领域相关安全问题了如指掌，并去主动获取相对应的安全能力即所谓的DevSecOps工具链，通过与悬镜安全这样的安全厂商合作，最终实现对软件全生命周期的管控。

云原生下，如何升级DevSecOps工具链？注入代码疫苗，筑成积极防御

正如前文提到，今年RSAC创新沙盒大赛的10强中有4家是解决云原生相关安全问题的，可见当下云原生安全炙手可热。调整升级DevSecOps工具链从而更好适应云原生场景，已成了安全厂商和企业用户的重要任务之一。

悬镜安全作为DevSecOps敏捷安全领导者，已经形成一套适用于云原生应用场景的第三代DevSecOps智适应威胁管理体系。子芽基于此指出了DevSecOps工具链的升级趋势。他认为云原生场景下安全技术的发展有两大推动力：一个是基础设施环境的变迁，从传统的IDC（Internet Data Center，互联网数据中心）到虚拟机，再到当下的容器和微服务；另一个是开发方式的变化，从瀑布式开发到敏捷开发再到DevOps研发运营一体化，从闭源开发到混源开发再到以开源为主导的开发。两大因素的推动导致安全需求的改变，使得云原生不仅需要“安全左移”，从开发源头进行安全治理，还要实现“敏捷右移”，保障云原生应用常态化运营安全。悬镜提出的原创专利级“代码疫苗”和“积极防御”是充分满足两大需求的最佳实践。

· 代码疫苗

代码疫苗技术所包含的IAST，在应用研发和部署环节，在容器打包的过程中，能帮助数字化应用实现防御前置，达到对漏洞出厂免疫的状态。对于Log4j2这类重大漏洞，便可启用代码疫苗技术中RASP的热补丁功能进行及时的修复。

· 积极防御

代码疫苗技术作为积极防御的重要一环，解决的是应用本身的问题。而当企业开启防御系统进行常态化安全运营时，便需要利用积极防御中的另外一环——BAS（入侵和攻击模拟）技术，持续开展安全度量工作，去验证防御体系的实际效果。

云原生下，如何落地实践DevSecOps？平安壹钱包与悬镜安全强强联合

在业务上云、组织上云的大背景下，企业拥有代码疫苗技术和积极防御体系这类先进的安全能力，又该如何推动DevSecOps体系的最终建成？汪永辉在直播中分享了平安壹钱包和悬镜安全共同打造的解决方案。

汪永辉表示，为了实现降本增效的目的，企业势必需要追求云原生技术创新，自然也涉及DevSecOps工具链的升级改造。平安壹钱包在这方面得到了悬镜的技术支持。

另一方面，随着应用系统环境的改变，检测能力需要随之变化，通过打造CNAPP（Cloud-Native Application Protection Platform，云原生应用保护平台）去检测业务运行时的安全，比如容器镜像自动化管理，此外还需要着手处理的问题是，如何准确判断运行时告警的有效性并快速响应和处置。

有效解决以上问题，是在云原生场景下落地实践DevSecOps的关键。

最后，三位嘉宾都对RSAC明年的主题做了预测。子芽认为会是“融合”，项曙明和汪永辉分别提到了“供应链”和“希望”。网络安全环境日益复杂，形势瞬息万变，技术日新月异，明年又会出现哪些新兴理念和技术趋势，让我们拭目以待。