今天小编分享的互联网经验:依托于SLSA框架的广义可信供应链安全建设实践,欢迎阅读。
链动未来 · 技术前瞻
安全能力与信任根下移,实现软硬结合,软硬一体。軟體成分物料实现可追踪与可感知、可分析,作为軟體交付清单的基础部分。两者结合,实现全链路可信。
——京东集团首席安全研究员
京东安全实验室负责人
Flanker(何淇丹)
随着数字化时代的到来,軟體供应链的安全性与完整性愈发凸显,面对不断增长的供应链安全威胁,传统的安全模型已难以胜任。在这一背景下,Google 提出的 SLSA 框架(Supply-chain Levels for Software Artifact)应运而生,成为一种革新性的軟體构建和分发模型,为从軟體开发到部署的供应链安全问题提供了系统性的解决方案。
SLSA 框架旨在确保軟體供应链的完整性与可信性,它将整个供应链划分为不同的环节,从源码、构建到发布,分为 1 至 4 级的可证明元结构数据生成、校验与准入环节。这些环节的严密管理与监控,旨在确保最终制品軟體不受篡改,同时满足严格的安全要求。然而,SLSA 框架的应用远不止于此,它赋予了我们拓展狭义上的组件安全与制品安全的能力,并将安全的范围扩展到基础軟體系统、移动应用与设备、云原生体系等多个领網域,从而实现了广义可信供应链安全的目标。
本届 XCon2023 大会中,来自京东集团的首席安全研究员,京东安全实验室负责人何淇丹(Flanker)将带来《依托于 SLSA 框架的广义可信供应链安全建设实践》的分享,从多个维度深入介绍 SLSA 框架的理论基础和架构实现,并分享在广义可信供应链安全落地实践中所遇到的各种挑战,以及如何改进 SLSA 框架以适应更加复杂的业务环境。
议题简介
《依托于 SLSA 框架的广义可信供应链安全建设实践》
本议题最大的亮点在于首次将 SLSA 概念与可信概念相结合,从而拓展了 SLSA 的适用范围,从解决单独的供应链安全问题变成了新的安全体系底座,在安全能力的复用中,为企业安全体系的建设提出了全新的视角。本次分享中 Flanker 也将结合大量实践中的攻防案例,详细分析这一框架在对抗安全风险时的具体措施与解决方案。
演讲人介绍
何淇丹(Flanker)——京东集团首席安全研究员,京东安全实验室负责人
京东集团首席安全研究员,京东安全实验室负责人,高级总监。Pwn2Own Mobile 和 PC 双料冠军,黑客奥斯卡 Pwnie Award 最佳提权漏洞奖得主,Google/Samsung/ 华为安全全球名人堂成员。多次在 BlackHat & DEFCON & CanSecWest & RECon & MOSEC & PoC 等发表演讲。
XCon2023
会议日程全曝光
☆购票通道同步开启
【链动者】¥ 0,展商互动区 +XReward 开放路演区可通行,不含闭门演讲、自助午餐及会刊
【先锋 · 造链者】¥ 2090,全场可通行,含闭门演讲 + 年度会刊(不含餐)。8 月 20 日晚 6 点前购买,享此福利
【突围 · 造链者】¥ 2790,全场可通行,含闭门演讲 + 自助午餐 + 年度会刊
【全速 · 造链者】¥ 4500,仅限会议当日现场购买,不支持票券折