海云安受邀参加诸子云 4.27南京「金融&互联网」私董会

4月27日，“安在新媒体网安用户行业活动”第四期私董会在南京顺利举办。活动以“金融&互联网”为主题，邀请十余位业内资深的甲方用户以及典型厂商代表。摒弃传统的议题分享，采取“随时问答，自由讨论”的形式，提问题、说干货、讲段子、吐真言。

“金融&互联网”专场

本场活动召集人为诸子云南京会长宋士明。参与活动的嘉宾还有弘业期货、希音、南京证券、江苏省联合征信有限公司、江苏电信等十余位家企业的安全专家代表，海云安华东区总监纪东辰受邀参与此次活动。现场专家们围绕互联网行业中的话题展开了探讨，交流并分享各自的宝贵经验。

以下是一些大家重点关注的话题：

1、终端敏感数据如何管理？

2、开源漏洞如何解决？

3、如何做好供应链安全？

4、如何做好开发安全？

5、人工智能如何提升安全在开发过程中的效率？

6、如何做好数据安全？

针对话题4，海云安华东区总监纪东辰表示，在当下敏捷开发的这种模式下，开发安全的核心在于安全左移，即将安全制度和策略落实到设计、编码、测试等一系列上线前的阶段，通过开发端来完善最初的安全机制。如此，就不会在产品上线后被爆出各种高危漏洞，而到了运维端，则可以更多地去关注，上线后有无新漏洞。

纪东辰强调，安全左移涉及了责任的划分，即明确了开发端和运维端各自的责任。现实中，漏洞的成因更多会归结于“人所写出来的代码”，因此理所当然，更重要的安全策略应该应用于开发阶段。而到了运维端，安全工作更聚焦于发现和解决，或者说安全工作更多是通过内部协调告知该如何修复，比如对于某些组件的更新，会有相应的官方说明，安全人员会及时通知开发部门进行更新。而对于父子组件所涉及的问题，就是所谓的“大组件没问题，小组件出现了某个漏洞”，其同样也应该在开发端就进行处理。

从DevSecOps体系的建设思路来看，安全机制要落实于最初的产品设计阶段，从编码检测，到组件检测，再到动态测试和渗透测试，其重点是要在产品上线前，就将安全贯彻到这每个开发流程中。与此同时，还要为其设计安全门禁，即某一阶段的安全性能若不过关，就无法开始下一阶段的开发工作。相应地，除了倒逼研发要遵守这样的安全制度外，安全人员也应该对开发部门进行培训，让他们具备更完善的安全意识。