数字化时代下，软件将重新定义整个世界，整个社会的治理、政府的管理、企业的运转等都将架构在软件、数据和网络之上，软件安全性成为越来越不容忽视的问题。企业和组织该如何积极应对数字变革的下一场巨浪？如何交付更加安全可靠的软件、完成软件在各个阶段的漏洞治理工作、为我省数字化改革大计的软件安全保驾护航？

6月30日，由浙江省网络空间安全协会指导、默安科技主办，以“数字世界‘呼唤’更安全的软件”为主题的逐鹿安全沙龙顺利举办。来自网络安全领域的知名专家学者、网络安全企业、用户企业代表齐聚一堂，从产业、学术、研究多个视角进行了分享，为安全推进数字化改革建言献策。

获取演讲PPT
在默安科技公众号后台发送“逐鹿安全沙龙”获取本期沙龙全部演讲PPT。

直播文字回顾

领导致辞
宋皆荣
浙江省网络空间安全协会 常务副理事长

数字化时代下，软件安全风险无处不在，从轻微的软件缺陷，到严重的漏洞爆发，甚至是大规模数据泄露，造成的损失触目惊心。从国家顶层设计层面强化数字安全体系，到浙江省全面推进数字化改革进程，安全的重要性不言而喻。今年是全省实现数字化改革“一年出成果、两年大变样、五年新飞跃”战略目标的关键之年，希望通过本次研讨活动，能为各行各业的安全建设提供参考，为打造安全可信的数字世界添砖加瓦。

软件供应链风险分析及对策
任一支
杭州电子科技大学网络空间安全学院 副院长

任院长的分享包含软件供应链的安全概述、挑战与风险分析、安全治理方法、前沿技术总结、发展趋势展望五个部分。

软件供应链可以理解为软件和系统的从生产到交付全过程，各个环节均存在巨大的安全隐患。关于软件供应链安全治理，任院长解读了我国颁布的和供应链相关的一系列法律法规、中国信息通信研究院软件供应链安全标准体系，并详细阐述在体系构建阶段、设计阶段、编码阶段、构建阶段、测试阶段、运营阶段所需的安全活动，最后对学术界相关论文问题进行总结，指出未来软件供应链安全生态将逐步建立。

DevSecOps研发安全体系实践
刘龙威
杭州涂鸦信息技术有限公司 安全总监

刘龙威的分享从DevSecOps的概念和指导思想（What&Why）、DevSecOps落地实践（Case）、实践提炼总结（How Do）三个部分展开。DevSecOps是建立在DevOps基础上的一种文化、自动化和平台设计方法，旨在将安全性融入现代应用程序开发和部署的典型快速发布周期中。DevSecOps体系的建设面临着组织和文化、工具和平台、流程和协作几方面的困难。

对此，刘龙威以涂鸦智能为例，分享了DevSecOps的落地实践经验，包含了各阶段重点的安全工作，并总结了研发安全体系各阶段应按照企业项目管理成熟度和DevOps成熟度的实际情况，分阶段开展影响力、流程化、体系化的建设。

企业安全左移那些“坑”
刘传兴
杭州默安科技有限公司 SDL技术专家

分享开始，刘传兴首先介绍了应用安全面临的内忧外患，指出安全左移已成必然趋势。然而，对于用户来说，需要考虑的不仅是安全，还需要平衡研发、测试和安全的关系，因此SDL体系的落地不能急于求成，脚踏实地、威胁闭环、平台能力建设才是关键。刘传兴在此分享了默安科技在安全左移上的思考和实践经验：需要制定良好的度量和激励政策，包括漏洞方面和安全活动的左移衡量方式，以实现内驱的左移安全。

默安科技安全开发整体框架包含DevOps或传统瀑布模式以及四个层次的建设：开发安全的管理体系建设咨询、平台支撑、阶段运营、知识赋能，该框架帮助众多客户实现了上线漏洞的大幅降低，节省安全成本的同时有效提升安全效益，这正是安全左移的意义所在。

本次逐鹿安全沙龙线上直播反响热烈，几位嘉宾从国家标准体系、学术研究、甲方和乙方等多个视角对软件安全进行了深度探讨，这对数字化改革下的软件开发安全体系建设有着很大的参考价值。未来，默安科技还将不断思考和创新，通过多举办此类活动，与更多行业代表一起对数字世界的安全问题展开更有价值的探讨。

关于逐鹿安全沙龙：

逐鹿安全沙龙是由默安科技主办的系列市场交流活动，有线下和线上两种形式，旨在为安全界的有识之士提供一个开放、有效的交流平台沙龙的嘉宾以企业自身的安全实践为出发点，共同探讨有效的解决思路和落地方案，以应对日益严重的网络威胁形势。每期沙龙会针对企业安全实践中遇到的问题确定一个主题，邀请对主题有经验积累的嘉宾分享所在领域的安全技术或行业经验，并与现场嘉宾进行互动讨论，在讨论中学习，在学习中成长。