2017年度北大软微学院创新创业论坛|悬镜分享DevSecOps的思考与实践

2017年12月3日北京大学软微学院以“新时代、新征程、新梦想”为主题的2017年度创新创业年度论坛圆满落幕。

北京大学软件与微电子学院自2002年成立以来，秉承“开拓、求实、创业，严谨、进取、育人”的理念，通过交叉学科设置、学苑式管理、注重创新创业能力培养等措施，使学生在校期间就形成了“天然的创新创业团队”。学院众多毕业生中近年来涌现出近百余支校友创业团队，在互联网+等多个创新创业领域崭露头角。

党的十九大报告提出，创新是引领发展的第一动力，是建设现代化经济体系的战略支撑。作为一所具有使命感的学院，北京大学软件与微电子学院始终肩负着培养和发展创新型人才的责任，在打造软微闪亮名片的同时，也为实现中国创造、中国制造的伟大梦想而不断地努力。

值此北大120周年校庆，软微15周年院庆之际，北京大学软件与微电子学院校友会邀请了各届校友回归母校，参加软微2017年度创新创业论坛。分享创业路上的风风雨雨、技术理念，在AI、信息安全、创投等各个领域的经验。

参与本次论坛的有：微软中国CTO 黎江；拉钩 3W咖啡创始人许单单；ofo、拉勾等项目天使投资人,人人信创始人CEO 马卫东和创金服创始人&CEO 房平等北大校友。

悬镜安全的联合创始人董毅先生作为北京大学优秀创业毕业生参加本次论坛活动，并发表以“DevSecOps的思考与实践为主题” 的分享。

分享伊始，董毅先生首先对悬镜团队进行了简单介绍：

“悬镜”是北京安普诺信息技术有限公司旗下的专业云主机安全品牌，“悬镜安全实验室”是隶属于安普诺旗下的信息安全研究团队。北京安普诺，由北京大学网络安全白帽子团队主导创立，核心成员来自于北京大学及国内外顶级安全厂商，是国内首家专注于“云+端”一站式安全加固解决方案的专业厂商。2016年，互联网安全巨头奇虎360(纽交所NYSE:QIHU)完成对安普诺的战略投资。

悬镜安全作为国家信息中心的战略合作伙伴，在重大活动和国家重要会议中承担着重要的任务，悬镜安全实验室的表现赢得了有关部门的重点称赞和关注。

随着国家对知识产权和原创技术的关注和重视，悬镜安全以专利技术为核心创立，拥有多个具有完全自主知识产权的发明专利，多项待授权发明专利。同时悬镜安全旗下的多款安全产品（悬镜服务器卫士、悬镜app加固卫士，云诺安全管控平台，云鉴漏洞检测平台等）也获得软件著作权。

接下来，悬镜团队对DevSecOps的理解与实践成果是分享中的主要话题：

目前，绝大部分企业开发和运维部门业务目标相互独立，导致安全风险的闭环管理时间周期长、成本高。

因此，DevSecOps在2017年美国RSA大会首次提出，这是一种全新的安全理念与模式，其核心理念为：安全是整个IT团队（包括开发、运维及安全团队）每个人的责任，需要贯穿从开发到运维整个业务生命周期每一个环节才能提供有效保障。

「DevSecOps」的作用和意义建立在「每个人都对安全负责」的理念之上，其目标是在不影响安全需求的情况下快速地执行安全决策，将决策传递至拥有最高级别环境信息的人员。

在RSA大会上，同时提出了DevSecOps 宣言：

1. CIO 驱动

2. 不同团队间的相互协作

3. 专注于风险，而非安全

在论坛上，悬镜团队结合以往对客户痛点的分析，首次提出了实现DevSecOps的三个基本要素：自动化、全周期、一体化。

并以三要素的角度对DevSecOps宣言的实现方式进行了解读，及：

以软件自动化驱动代替CIO驱动；以全周期、一体化的产品促进不同团队间的相互协作；希望用户更加专注于业务，而让专业公司帮助用户关注风险。

同时，悬镜团队在论坛上介绍了对DevSecOps的最新实践成果——【悬镜一站式解决方案】。

从产品开发阶段，到发布前的测试，以及业务上线之后的安全运维，悬镜全程参与安全保障，研发出一系列的安全产品来针对整个流程的不同环节进行服务。

针对不同用户使用场景的特殊性，悬镜安全具有专业的针对性解决方案，既适合公有云用户，也适合私有云用户。通过大数据分析平台，实时更新用户系统安全状况，提高了用户系统安全，增加了攻击者攻击的难度。同时企业运维人员在对应攻击时，响应速度更加及时。除了自动化的产品外，悬镜安全也结合客户目前的情况，出具一系列的安全服务，如渗透测试、应急响应、防黑加固、安全巡检、安全培训等。让企业客户在应对攻击者，从被动变主动。

悬镜服务器卫士（Ops环节）

悬镜服务器卫士是一款功能强大的Linux服务器安全加固软件，集安全巡检、CC防护、木马查杀、多屏管控、攻击拦截、流量监控等多维度安全功能于一身。基于深度学习的云主机安全大脑云脉量化安全威胁并进行智能优选防御策略，可提供Web、PC、移动App及微信等多屏互动方式进行批量配置更新及数据分析；真正实现对政企核心业务及关键生产系统7*24全天候的精准安全管控和持续响应。用户在使用过程中，将轻量级服务器端Agent部署在Linux云主机上，即可实时监控服务器安全状况。

悬镜服务器卫士-pc端

悬镜服务器卫士-web端

微信/wap端

安全数据私有化存储，降低数据泄露威胁，为此悬镜安全推出星声私有云安全管控平台。一键批量下发策略，让多机安全配置不再盘根错节。对威胁数据抽丝剥茧，全面分析服务器的安全态势。高度智能化图表展示，服务器健康状况一目了然。

悬镜服务器卫士免费体检地址：http://www.xmirror.cn/

云鉴漏洞扫描云平台（Dev环节）

云鉴是一款集服务器漏洞扫描、网站渗透测试、App风险评估为一体的综合性漏扫云平台。自动化环境扫描、漏洞分析、生成报告，先于攻击者发现漏洞，操作简单，深受广大开发者的喜欢。

云鉴漏洞扫描云平台体验地址：http://www.x-check.cn/