浅谈 DevSecOps 敏捷安全发展趋势演讲人：子芽演讲时间： 2021.07.21目录 C o n t e n t s致辞1 技术分享2 寄语301 致辞致辞作为中国首届 “DevSecOps 敏捷安全大会 “，创立初心？ •生态：搭建一个汇集“行业用户、产业智库、安全媒体及技术厂商“的 DevSecOps 生态交流平台； •齐鸣：行业用户分享场景实践，产业智库分享标准研究，圈内媒体分享行业趋势，领军厂商分享创新技术； •共舞：定期输出 DevSecOps 创新落地实践，推动敏捷安全技术应用发展，共筑行业性整体解决方案。致辞为何是“ 安全从供应链开始 “？ •内因：数字经济时代，软件定义万物，安全内生于业务发展；软件开源日趋盛行，开源软件成为现代软件开发最基础的原材料； •外因：自动化恶意攻击技术不断升级，软件供应链攻击趋势明显加强；供应链安全与否直接影响国家安全。技术分享02云原生时代的软件开发模式变革瀑布模型敏捷模型 DevOps 瀑布式开发敏捷开发 DevOps 现实场景面临的安全挑战 ⚫传统开发场景下如何高效实践 SDL ⚫DevOps场景下如何与 CI/CD结合，实践可度量的敏捷安全建设 ⚫过渡场景下如何结合组织特点逐步转型，做中长期安全开发和运营体系建设设计开发测试部署现代应用软件安全风险面的新认知开源成分缺陷及漏洞开源代码及组件现代应用软件组成成分自研代码Web通用漏洞 SQL注入、命令执行、 XXE、XSS等OWASP TOP10 漏洞业务逻辑漏洞水平/垂直越权、短信轰炸、批量注册等不局限于 CNNVD、CNVD、CVE等漏洞混源软件开发已成为现代应用主要软件开发交付方式，对它的全面风险审查应考虑从第三方开源组件缺陷及后门、自研代码通用漏洞、自研代码业务逻辑漏洞、潜藏恶意代码等维度综合审计。异常行为代码各类Webshell 木马、后门及恶意代码等