今天小編分享的互聯網經驗:依托于SLSA框架的廣義可信供應鏈安全建設實踐,歡迎閱讀。
鏈動未來 · 技術前瞻
安全能力與信任根下移,實現軟硬結合,軟硬一體。軟體成分物料實現可追蹤與可感知、可分析,作為軟體交付清單的基礎部分。兩者結合,實現全鏈路可信。
——京東集團首席安全研究員
京東安全實驗室負責人
Flanker(何淇丹)
随着數字化時代的到來,軟體供應鏈的安全性與完整性愈發凸顯,面對不斷增長的供應鏈安全威脅,傳統的安全模型已難以勝任。在這一背景下,Google 提出的 SLSA 框架(Supply-chain Levels for Software Artifact)應運而生,成為一種革新性的軟體構建和分發模型,為從軟體開發到部署的供應鏈安全問題提供了系統性的解決方案。
SLSA 框架旨在确保軟體供應鏈的完整性與可信性,它将整個供應鏈劃分為不同的環節,從源碼、構建到發布,分為 1 至 4 級的可證明元結構數據生成、校驗與準入環節。這些環節的嚴密管理與監控,旨在确保最終制品軟體不受篡改,同時滿足嚴格的安全要求。然而,SLSA 框架的應用遠不止于此,它賦予了我們拓展狹義上的組件安全與制品安全的能力,并将安全的範圍擴展到基礎軟體系統、移動應用與設備、雲原生體系等多個領網域,從而實現了廣義可信供應鏈安全的目标。
本屆 XCon2023 大會中,來自京東集團的首席安全研究員,京東安全實驗室負責人何淇丹(Flanker)将帶來《依托于 SLSA 框架的廣義可信供應鏈安全建設實踐》的分享,從多個維度深入介紹 SLSA 框架的理論基礎和架構實現,并分享在廣義可信供應鏈安全落地實踐中所遇到的各種挑戰,以及如何改進 SLSA 框架以适應更加復雜的業務環境。
議題簡介
《依托于 SLSA 框架的廣義可信供應鏈安全建設實踐》
本議題最大的亮點在于首次将 SLSA 概念與可信概念相結合,從而拓展了 SLSA 的适用範圍,從解決單獨的供應鏈安全問題變成了新的安全體系底座,在安全能力的復用中,為企業安全體系的建設提出了全新的視角。本次分享中 Flanker 也将結合大量實踐中的攻防案例,詳細分析這一框架在對抗安全風險時的具體措施與解決方案。
演講人介紹
何淇丹(Flanker)——京東集團首席安全研究員,京東安全實驗室負責人
京東集團首席安全研究員,京東安全實驗室負責人,高級總監。Pwn2Own Mobile 和 PC 雙料冠軍,黑客奧斯卡 Pwnie Award 最佳提權漏洞獎得主,Google/Samsung/ 華為安全全球名人堂成員。多次在 BlackHat & DEFCON & CanSecWest & RECon & MOSEC & PoC 等發表演講。
XCon2023
會議日程全曝光
☆購票通道同步開啟
【鏈動者】¥ 0,展商互動區 +XReward 開放路演區可通行,不含閉門演講、自助午餐及會刊
【先鋒 · 造鏈者】¥ 2090,全場可通行,含閉門演講 + 年度會刊(不含餐)。8 月 20 日晚 6 點前購買,享此福利
【突圍 · 造鏈者】¥ 2790,全場可通行,含閉門演講 + 自助午餐 + 年度會刊
【全速 · 造鏈者】¥ 4500,僅限會議當日現場購買,不支持票券折
