导语:本届XCon2023大会中,来自京东集团的首席安全研究员,京东安全实验室负责人何淇丹(Flanker)将带来《依托于SLSA框架的广义可信供应链安全建设实践》的分享。
链动未来·技术前瞻
安全能力与信任根下移,实现软硬结合,软硬一体。软件成分物料实现可追踪与可感知、可分析,作为软件交付清单的基础部分。两者结合,实现全链路可信。
——京东集团首席安全研究员
京东安全实验室负责人
Flanker(何淇丹)
随着数字化时代的到来,软件供应链的安全性与完整性愈发凸显,面对不断增长的供应链安全威胁,传统的安全模型已难以胜任。在这一背景下,Google提出的SLSA框架(Supply-chain Levels for Software Artifact)应运而生,成为一种革新性的软件构建和分发模型,为从软件开发到部署的供应链安全问题提供了系统性的解决方案。
SLSA框架旨在确保软件供应链的完整性与可信性,它将整个供应链划分为不同的环节,从源码、构建到发布,分为1至4级的可证明元结构数据生成、校验与准入环节。这些环节的严密管理与监控,旨在确保最终制品软件不受篡改,同时满足严格的安全要求。然而,SLSA框架的应用远不止于此,它赋予了我们拓展狭义上的组件安全与制品安全的能力,并将安全的范围扩展到基础软件系统、移动应用与设备、云原生体系等多个领域,从而实现了广义可信供应链安全的目标。
本届XCon2023大会中,来自京东集团的首席安全研究员,京东安全实验室负责人何淇丹(Flanker)将带来《依托于SLSA框架的广义可信供应链安全建设实践》的分享,从多个维度深入介绍SLSA框架的理论基础和架构实现,并分享在广义可信供应链安全落地实践中所遇到的各种挑战,以及如何改进SLSA框架以适应更加复杂的业务环境。
议题简介
《依托于SLSA框架的广义可信供应链安全建设实践》
本议题最大的亮点在于首次将SLSA概念与可信概念相结合,从而拓展了SLSA的适用范围,从解决单独的供应链安全问题变成了新的安全体系底座,在安全能力的复用中,为企业安全体系的建设提出了全新的视角。本次分享中Flanker也将结合大量实践中的攻防案例,详细分析这一框架在对抗安全风险时的具体措施与解决方案。
演讲人介绍
何淇丹(Flanker)——京东集团首席安全研究员,京东安全实验室负责人
京东集团首席安全研究员,京东安全实验室负责人,高级总监。Pwn2Own Mobile和PC双料冠军,黑客奥斯卡Pwnie Award最佳提权漏洞奖得主,Google/Samsung/华为安全全球名人堂成员。多次在BlackHat & DEFCON & CanSecWest & RECon & MOSEC & PoC等发表演讲。
XCon2023
会议日程全曝光
☆购票通道同步开启
【链动者】¥0,展商互动区+XReward开放路演区可通行,不含闭门演讲、自助午餐及会刊
【先锋·造链者】¥2090,全场可通行,含闭门演讲+年度会刊(不含餐)。8月20日晚6点前购买,享此福利
【突围·造链者】¥2790,全场可通行,含闭门演讲+自助午餐+年度会刊
【全速·造链者】¥4500,仅限会议当日现场购买,不支持票券折
如若转载,请注明原文地址