CAS(持续应用安全)是集SCA,黑、白、灰盒,Fuzzing,RASP,MAST(移动应用安全检测)和ASOC于一体的软件供应链安全新思路,是业界首个最为完整的开发安全整体解决方案,为了和行业用户以及业内同仁进行更多的沟通与交流,CAS大会于2023年4月13日在北京隆重召开。
本次会议由数世咨询、比瓴科技、火线安全、四维创智、酷德啄木鸟、孝道科技、云起无垠、边界无限、海云安联合主办。现场参会人数近百人,在线会议参与客户20+家,同时还通过媒体、视频号在线直播。
01
会议背景
持续应用安全(CAS)是基于我国软件供应链安全现状所诞生的一种解决方案,是DevSecOps理念框架在我国商业市场的落地实践,致力于解决敏捷性思想在数字时代提出的安全保障需求。
主要针对软件供应链中数字化应用的开发以及运行方面的安全问题,是安全能力原子化(离散式制造、集中式交付、统一化管理、智能化应用)在软件供应链安全上的应用。
持续应用安全(CAS)专注于保障数字化应用的,源代码阶段-构建部署阶段-上线运行阶段,全流程的安全状态。持续应用安全(CAS)方案可以通过安全能力高度融合和安全数据关联分析的方式,经由统一调度管理形成体系化的解决方案,以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。
02
开场致辞
李少鹏 数世咨询创始人
数世咨询创始人、CAS技术共同体发起人李少鹏在致辞中表示国内外软件供应链安全方面的风险问题,目前仍没有完善的体系化解决方案以应对。聚焦到软件开发和应用安全,也就是持续应用安全(CAS)的范畴。在全球,尤其是国内市场环境下,有如下两个显著特点:
01
为了应对高速增长和不同需求的研发场景,行业用户已经拥有了多种不同的安全检测和防护工具,但他们之间缺乏连通性,不仅统一管理难度大,而且无法达到安全效能叠加的目的。
02
单点安全能力具有突出优势的安全工具,对中小规模企业来说,存在投入产出比持续降低的现象。对于大型企业,同样如此,但是由于安全投入在信息化整体投入里始终处于微小的一部分,最重要的是某些安全工具是为了匹配业务合作的需要,故这部分增加的成本对于大型企业来说就变得微不足道。
数世咨询通过调研发现,在这样的情况下,许多行业用户在选购安全工具时,已经不再仅仅对数世咨询发布的“点阵图”右上角抱有执念,而是开始关注安全能力和安全数据之间联通的可能性,开始思考一体化平台型产品的方案。在保证某一两个与自身业务匹配度高的单点安全能力的条件下,牺牲其他安全工具一定的优势性,用联通性与安全效能的叠加性来获得更大的经济收益与安全保障效果。
03
CAS白皮书解读
靳慧超 数世咨询首席战略分析师
数世咨询首席战略分析师靳慧超围绕CAS的核心定义、发展缘由、未来趋势对《持续应用安全(CAS)白皮书》进行解读。
04
技术解读
徐锋 孝道科技CTO
孝道科技CTO徐锋以安全玻璃盒产品为例,重点讲述了IAST技术原理与典型应用场景,以及守道IAST的核心技术。
杨临庆 酷德啄木鸟总经理
酷德啄木鸟总经理杨临庆介绍了CodePecker源代码静态缺陷分析系统(SAST)的产品优势及核心竞争力。
司红星 四维创智CEO
四维创智CEO司红星在介绍中结合实际应用场景,讲述了智能渗透测试机器人产品的AI+安全融合的渗透测试解决方案。
沈凯文 云起无垠CEO
云起无垠CEO沈凯文介绍了模糊测试是下一代软件安全自动化测试技术,通过向目标系统提供非预期的输入并监视异常结果,并结合动态分析、静态分析、插桩、 覆盖引导、符号执行等技术,挖掘未知漏洞。
王佳宁 边界无限CTO、联合创始人
边界无限CTO、联合创始人王佳宁介绍了基于RASP,主攻ADR,剑指云原生,打造整体应用动态防御体系。
卢中阳 火线安全CTO、联合创始人
火线安全CTO、联合创始人卢中阳以“洞态IAST助力甲方DevSecOps落地”为主题,讲述了CAS场景下IAST在用户侧的落地应用方案。
刘舒骐 比瓴科技高级副总裁
比瓴科技高级副总裁刘舒骐结合ASOC技术能力,讲述了通过编排、关联、智能技术实现安全自动化的核心理念。
杨海龙 海云安售前工程师
海云安售前工程师杨海龙介绍了SCA的检测能力、修复方案及工具的易用性,并列举了SCA的实际应用案例。
05
CAS技术共同体成立
本次大会以CAS为核心表达了对未来我国数字安全发展的前瞻思考及计划,并宣布成立CAS(持续应用安全)技术共同体,并且持续进行成员招募工作,共同为行业发展做出贡献。
往期推荐