子芽新书《敏捷安全》如约而至

挂镜安全，OpenSCA创始人芽10年沉淀首次披露。

来自学术界和企业界的十位权威安全专家共同推荐。

内容简介:这是一本系统讲解DevSecOps敏捷安全的实用书籍。为企业应对软件开发方法的敏感性和软件供应链的开源性带来的安全挑战提供了解决方案。能够有效引导企业快速完整地将安全能力嵌入到整个DevOps系统中，在保证业务研发效率的同时，实现敏捷安全的内生和自生长。

7月26日下午，由挂镜安全主办、OpenSCA社区协办的“又见DSO 2022，Ziya《DevSecOps敏捷安全》新书发布会”在北京大学博雅国际饭店成功举办。一群来自网络安全圈的文科人士齐聚一堂，与新书作者，即挂镜安全创始人兼CEO、OpenSCA社区创始人Ziya，一起畅谈行业新技术、新趋势。

本次发布会由新书出版单位机械工业出版社高级主编杨福川先生亲自主持。中国信息通信研究院云计算与大数据研究所开源与软件安全部副主任郭雪、中兴通讯开源合规与安全管理总监向书明、平安易钱包安全DevSecOps运营负责人王永会作为嘉宾出席。《中国信息安全》、《InfoQ》、《安全公牛》、《网络安全与数据治理》、《网络安全与信息化》、《咆哮新媒体》、《Leifeng.com》、《浅黑科技》、《Yiou.com》等20余家主流媒体出席会议，踊跃提问，聚焦大会内容，进行深度报道。

十年沉淀，厚积薄发

子亚发表了“DevSecOps敏捷安全系统介绍”的主题演讲

大会伊始，北京大学计算机学院教授/网络信息安全实验室主任陈忠，政企院创始人、景泰创投谭，中国电信研究院安全技术研究所所长何国峰，国家电网湖南电网安全技术总工程师田政，编码创始人CEO，道客网络首席安全官张松，院创始人段刚， 开源中国Gitee创始人兼CTO红薯等多位大咖通过视频或访问网站的方式再次推荐新书《Dev》。

随后，Ziya在一场主题为《DevSecOps敏捷安全系统简介》的演讲中，全面梳理了云原生时代面临的数字安全风险和挑战，并着重阐述了其新书的部分核心内容。

子牙认为，在数字经济时代，软件定义一切，成为保证社会正常运转的基础组件。然而，现代软件受到开源组件缺陷、常见Web漏洞、业务逻辑漏洞和异常行为代码等潜在安全风险的威胁。而且，随着新产品、新版本、新技术、新环境的出现，企业组织竞相拥抱原来的业务上云、组织上云的时代，使得数字化应用风险面和软件供应链安全范围有了更大的延伸。

子牙主题演讲现场

子在新书《DevSecOps敏捷安全》中指出，由挂镜安全首次原创提出的新一代DevSecOps敏捷安全体系，是防范和处理现代软件全生命周期风险最合适的实践切入点。通过在金融、能源、互联网等行业的广泛实践，证明该系统不仅适用于DevOps敏感开发环境，也适用于软件供应链安全和云原生安全场景。子在演讲中详细介绍了DevSecOps敏捷安全体系的核心内涵，从文化、流程、技术、度量四个维度梳理了整个体系框架。

在演讲的最后，Ziya对DevSecOps敏捷安全技术的演进趋势做了前瞻性的解读，并分享了挂镜在该领域的前沿研究成果——基于单探针的代码疫苗技术和DevSecOps敏捷安全技术金字塔V2.0。

产、学、研，另见DSO 2022。

新书《DevSecOps敏捷安全》讨论

基于Ziya的新书和主题演讲，与会嘉宾与Ziya就DevSecOps相关热点话题进行了圆桌讨论，分享了各自的行业见解和实践成果。

在中国信通院云计算与大数据研究所开源与软件安全部副主任郭雪看来，DevSecOps近年来之所以受到广泛关注，是因为其“安全左移”的实践思路完美契合了云原生安全的理念，即安全与技术架构体系的深度融合。她还特别提到，Ziya创作的《DevSecOps敏捷安全》一书，对整个行业的研究和标准化起到了非常积极的推动作用，不仅引导了行业的发展方向，也有效地指导了企业有效实施DevSecOps。

作为中兴通讯开源合规与安全治理总监，向书明重点介绍了DevSecOps在软件供应链安全领域不可或缺的作用。他表示，在业务快速交付和产品快速迭代的前提下，如何追溯软件开源组件的来源，如何通过治理让原生开源组件安全可信，如何保证开源软件的安全性和合规性，是企业乃至国家面临的挑战。DevSecOps在解决软件供应链的安全问题上可以起到很大的作用，所以他认为《DevSecOps敏捷安全》一书中的相关内容可以给企业带来启发。

王永会作为平安易钱包安全的DevSecOps运营负责人，有着丰富的落地实践经验。他认为里程碑事件可以成为在企业内部推广DevSecOps的机会。以平安易钱包为例，IAST技术的成功引入让安全部门得到了认可，从而营造了安全文化氛围。之后，流程和工具链的建立乃至DevSecOps系统的建立就变得顺理成章了。当然，在这个过程中，难免会有技术上的阻力。这时候可以参考DevSecOps敏捷安全等专业作品或者依靠挂镜等优质供应商。

新书《DevSecOps敏捷安全》现场讨论

关注DevSecOps敏捷安全性

答记者问环节精彩回顾

牛:你创作这本书的初衷是什么？

子:这本书的序言里也写了创作的初衷。我一直记得我上学时导师的一句话:“如果把人类现有的认知实践比作一个圆，那么当我们博士毕业时，我们的研究和实践成果至少可以引领人类从这个圆再迈进一步。”我的团队和挂镜多年来一直秉承这一创业倡议。凭借多年的技术沉淀，在DevSecOps circuit达到国际先进水平，有能力代表中国在该领域的技术实力向世界发出最强音。因此，DevSecOps敏捷安全的创建和发布，不仅仅是为了分享挂镜多年的技术实践成果，更是觉得用户才是挂镜最好的产品经理，希望将某些领域或场景的最佳解决方案反馈给更多行业的用户，供他们学习和参考。

中国信息安全:这本书适合什么样的人看？会给他们什么具体的帮助？能否提供一些阅读这本书的指导方法？

巴德:DevSecOps要求安全共享，即安全与数字应用的任何相关环节所涉及的人都有关系，所以希望这本书能够出版，帮助更多的人。具体来说，在企业中从上到下，从CEO、CTO、CIO等核心高管到安全负责人再到技术人员，学校的师生都是它的读者。这本书分为五个部分，从浅到深，从0到1到高级，可以不同程度的赋能这些人。

喊新媒体:刚才注意到有嘉宾提到，这本书一定程度上填补了国内外相关领域空的空白。你对此有何评论？

子:我在写作的过程中一直在思考这本书会对行业乃至整个社会产生怎样的影响。我认为有三点:第一，这本书在国际上首次系统地构建和梳理了一个完整的安全框架——DevSecOps敏捷安全体系；第二，硬技术的创新是推动社会进步的关键动力。同时，科学技术的普及也尤为重要，而这本书正是挂镜多年积累的原创前沿技术和创新理论认知的系统分享。再次，本书不仅关注了国内金融和泛互联网行业的最佳实践，也关注了美国国防部、网飞和Salesforce的最佳实践。

网络安全与信息化:DevSecOps敏捷安全体系建设涉及文化、流程、技术、度量。你认为企业实施哪一点效率更高？

巴德:DevSecOps敏捷安全有两个概念，一个是以人为本，技术驱动，一个是同步规划，同步建设，同步运营。因此，自动化的技术支持，包括敏捷的安全工具链和配套的全流程平台，是落地实践过程中的关键；另外，还有一个关键点。在文化层面，需要获得高层的支持，实现安全责任共担的意识。

浅层黑科技:安全厂商和企业用户应如何看待DevSecOps敏捷安全的新技术和趋势，如代码疫苗技术？

巴德:企业在进行安全建设的时候，没有最好，只有最好的匹配。DevSecOps的落地练习是阶段性的，是温柔的，也就是所谓的润物细无声。对于新技术，企业需要考虑自身在安全建设不同阶段的需求，是否能解决实际问题，以及该技术在市场上应用推广的节奏和商业模式。挂镜的代码疫苗技术，在安全左移阶段通过单个探针就能精准覆盖95%以上的中高危漏洞，有效防止应用带病上线；上线后的正常运行阶段，使用RASP为应用提供内生的主动安全免疫。经过几年的沉淀和打磨，探针在稳定性、语言兼容性、运行时性能损失等方面满足了企业用户的严格要求。

InfoQ:To B行业目前的增长模式是产品驱动的。作为DevSecOps领先厂商的创始人，你也必须肩负起推动行业发展的社会责任。那么如何才能在推动行业发展的同时兼顾企业的战略布局呢？

巴德:创业的过程中有很多挫折。支撑挂镜最终向上爬的根本力量在于对技术和事业的热爱。所以，在我看来，推动行业发展，引领悬镜成为中国软件供应链安全管理和运营的中坚力量，是齐头并进的。

网络安全与数据治理:从“未名湖畔”到“挂镜安全”与筑梦，从“动心思考”到“知行合一”，子牙作为网络安全研究与技术实践者，一直在践行自己的国家使命与责任。那么，你能分享一下她在经营企业或者写《DevSecOps敏捷安全》这本书的过程中，给你带来的最大收获或者启发吗？

子:北大的文化，我读书的实验室的文化，教会了我自由。想自由，就敢于突破，这给了我创业的勇气。在创业过程中，我和挂镜团队洞察到行业乃至国家对软件供应链和云原生的敏捷安全需求，通过我们的努力走在了这个领域的最前沿，于是顺势而为，通过这本书把沉淀的经验分享给大家。

我认为，作为一个安全厂商，我们应该在快速发展的过程中专注于自己的核心领域。以挂镜为例，聚焦创业过程中的四个“一”核心能力:运行时单探针、代码疫苗技术、主动防御框架、敏捷安全体系。另外，企业的发展需要一个紧密联系的上下游生态。航景正在做的一些尝试，比如与DevOps平台、中间件厂商、咨询机构的深度合作，也是为了给用户提供更好的产品和服务体验。

香味总是留在送玫瑰的手里

馨子书签赠送仪式回顾

活动接近尾声，子牙给现场的每一位嘉宾和媒体朋友签名售书，并和大家合影留念。

馨子书签赠送仪式现场

活动结束后，有媒体坦言，Ziya的新书发布会收获了业界前沿的研究成果，加深了他们对DevSecOps这一新赛道的认识。相信这本新书可以帮助推动建立一个敏捷、安全、成熟的DevSecOps生态系统。

DevSecOps敏捷安全作者简介:Ziya，挂镜安全创始人兼CEO，OpenSCA开源社区创始人，中国信通院软件供应链安全社区首席安全专家，DSO敏捷安全大会制作人，ISC十周年代表人物，具有10年以上前沿安全技术研究和实践经验、国际视野和综合工程创新能力的高端科技领军人物。长期从事持续威胁评估领域的AI深度学习算法研究，拥有多项原创发明专利，承担了国家重大网络安全项目和科研项目。最早的“DevSecOps智能自适应威胁管理系统”已经进化到第三代，在业界有着很深的影响力。