云原生时代，应用开源化、开发敏捷化、架构微服务化、基础设施容器化，使得数字供应链安全风险日趋严峻。随着企业数字化转型步入深水区，数字化应用已逐渐渗透到业务发展、技术研发、企业管理等各个场景，贯穿于企业发展全生命周期。

　　近日，由中国网络安全产业联盟（CCIA）和悬镜安全举办的“数字供应链安全治理与实践”技术沙龙在京举办。来自金融、互联网、通信、网络安全等领域的业界人士齐聚一堂，探讨如何应对新时代数字供应链面临的威胁与挑战，分享关键技术创新发展成果以及治理方案的实践落地。

　　中国网络安全产业联盟副秘书长许玉娜表示，网络安全作为网络强国、数字中国的底座，将在未来的发展中承担托底的重担，是我国现代化产业体系中不可或缺的部分。近年来，数字供应链安全风险已成为企业数字化转型过程中面临的重大网络安全问题之一，加快落地数字供应链安全治理工作迫在眉睫。企业亟需从各个层面建立数字供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体提升数字供应链安全管理的水平。

　　中泰证券科技研发部总监陈树冰表示，未来数字化应用在云原生环境下研发及运行，在DevOps平台和体系基础上，云原生环境下的数字供应链安全体系运营流程需要实现端到端且高效地运转，因此，DevSecOps体系建设尤为重要。得益于DevSecOps的实践落地，中泰证券完善了安全管理规范，通过安全左移，大幅提升应用交付效率的同时降低了线上运营压力。

　　悬镜CTO宁戈分享了悬镜原创专利级代码疫苗技术的架构原理、能力象限以及其在数字应链安全管理体系中的关键作用。他表示，代码疫苗技术统一融合了IAST、SCA、RASP、DRA、API、APM等能力，只需一个探针就能解决数字化应用长期面临的安全漏洞、数据泄漏、运行异常、0Day攻击等风险，减轻多探针运维压力的同时，为应用植入“代码疫苗”，实现应用与安全共生。

　　中国移动高级业务安全专家郑国忠表示，开源技术蓬勃发展，已成为企业数字化转型的核动力，但也给企业带来了软件供应链安全威胁。软件供应链安全风险存在于供应链的各个环节，单点的防御检测已经无法满足企业安全防御的需求。中国移动智慧家庭运营中心依据软件供应链的特点，借鉴行业解决思路，采用四化合一的架构，从组织保障、流程建设、场景识别、能力固化四个方面，依托自身的SDL安全研发能力，通过源头治理、过程治理和线上运营治理三阶段的安全管控，构建起供应链软件全生命周期的安全治理体系，实现软件供应链安全主动防范、纵深防御、精准防护、整体防护的能力。

　　字节跳动云安全产品解决方案架构师陈飞表示，随着云原生技术大规模应用，云原生安全保护成为企业在数字化转型过程中关注的热点之一。字节跳动在云原生安全领域深入探索实践，打造云原生安全能力矩阵，基于典型CI/CD流程，嵌入丰富的安全能力，实现完善的安全保护机制，同时参考融合业界典型的CNAPP模型，形成更进一步的云原生安全体系化建设思路。

　　平安壹钱包DevSecOps运营负责人汪永辉分享了在DevSecOps落地方面的思考和感悟。他认为，各项敏捷安全能力建设需要考量企业安全现状，以平安壹钱包为例，会通过内部调研分析，将各项安全能力的优先级量化，从而规划安全建设的重点。（记者 李政葳）