悬镜安全|DevSecOps敏捷安全技术金字塔V3.0正式发布悬镜安全,DevSecOps敏捷安全技术

2022年12月28日，由悬镜安全主办，3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会（DSO 2022）已通过全球直播的形式圆满举行。
本届大会以“共生·敏捷·进化”为主题，以“敏捷共生，守护中国软件供应链安全”为使命，聚焦DevSecOps敏捷安全、软件供应链安全和云原生安全三大典型应用场景下的新技术、新态势、新实践。
会上，大会出品人、悬镜安全创始人子芽以“DevSecOps敏捷安全技术演进洞察（2022）”为主题，围绕DevSecOps敏捷安全技术演进趋势以及关键技术应用实践作了精彩分享，并正式发布了行业期待已久的第三版DevSecOps敏捷安全技术金字塔。

文章图片
下面让我们一同揭秘“DevSecOps敏捷安全技术金字塔V3.0”。

文章图片
什么是DevSecOps敏捷安全技术金字塔？随着企业数字化转型加速，更多的数字资产和员工处于传统企业基础设施边界之外，同时，各式各样数字化转型而来的新业务和新技术也成为企业安全团队的保护对象。
企业若想应对未来高级威胁和复杂场景的挑战，支持内生自免疫、敏捷自适应、共生自进化的积极防御安全架构成了必要选择，安全功能应可拆分成诸多原子化的安全能力，具备离散式制造、集中式交付、统一化管理、智能化应用等关键能力，进而通过控制层编排组合成适应不同业务场景安全要求的敏捷工具链和体系化方案。
在这样的大背景下，DevSecOps敏捷安全技术金字塔应运而生，它是DSO敏捷安全大会出品人子芽基于长期DevSecOps敏捷安全技术前沿研究探索成果和悬镜安全团队在软件供应链安全和云原生安全领域多年的应用实践沉淀汇聚而来，融合了国内外行业头部企业 “安全左移，从源头做风险治理”和“敏捷右移，安全运营敏捷化”的实践思想，并持续内涵了“出厂自免疫、敏捷自适应、共生自进化”的关键特性（关注‘悬镜安全’官方公众号，即可参考子芽专业著作《DevSecOps敏捷安全》，了解更多”）。其中，不同敏捷安全技术栈落入金字塔不同实践阶层的重点考量主要围绕“技术创新度、产品成熟度和市场需求度”三个维度展开。

文章图片
图1 DevSecOps敏捷安全技术金字塔V3.0

文章图片
DevSecOps敏捷安全技术金字塔V3.0有什么新变化？
文章图片
图2 DevSecOps敏捷安全技术金字塔-演进对比
作为DevSecOps敏捷安全技术的引领指南，本次发布的3.0版本不仅延续了敏捷安全技术分层与企业组织DevSecOps成熟度非正比关系的编排原则，还引入了跨领域新技术与敏捷安全技术进行深入的实践融合。
本次DevSecOps敏捷安全技术金字塔V3.0根据不同阶段相关技术的应用成熟度和落地效果进一步细化了敏捷安全应用实践的阶层，包含传统建设层、应用实践层（敏捷安全实践第一层）、技术探索层、效果度量层和卓越层（最高层）共五个阶段，下面将逐一进行技术解码：

传统建设层：WAF、EDR、Deception、CKS、ASTs
从网络安全技术演进和传统纵深防御体系构筑的视角，典型实用的安全技术主要分为边界流量分析技术、端点环境检测响应技术和应用情境感知响应技术。