免费开始

揭秘SBOM对安全软件部署的影响@OWASP湾区会议

2022年4月28日

2分钟阅读

我们非常激动地宣布，JFrog是本月OWASP湾区聚会的东道主!计划了两场精彩的演讲两场是老式的披萨和饮料!

谈# 1
阐明SBOM对安全软件部署的影响
随着白宫在2021年5月发布网络安全行政命令，在从云开发和部署安全软件时，软件材料清单(又名soms)是否已经从一个“有就好”的全球标准升级为“必须拥有”的全球标准?简而言之，soms提供了对组成软件的组件的可见性，并详细说明了如何将其组合在一起，因此很容易确定它是否包含安全性和遵从性问题。在这次演讲中，我们将讨论•什么是SBOM?•保护您的软件供应链•为什么SBOM必须是您的软件开发生命周期(SDLC)安全性和遵从性方法的关键元素•围绕SBOM存在的误解•SBOM创建和使用的见解和最佳实践。

发言人:
WILLIAM MANNING解决方案工程经理Bill是JFrog的解决方案架构师。他也是TechStars、Matter和NestGSV的导师。他已成功退出
并在澳大利亚上市。他目前也作为顾问帮助不同的创业公司。在业余时间，他喜欢和他的妻子和两个男孩一起旅行。他还弹吉他，热爱海洋，酷爱骑自行车。

谈# 2
云原生应用的弹性姿态，防御勒索软件
讲座将重点介绍零信任和深度防御可以实现的弹性补丁的概念。
发言人:
●araali Networks创始人兼首席执行官
●Cisco Tetration Analytics联合创始人/副总裁、CSA (Zero Trust Expert Group)核心成员、Aruba、Cisco、PacketMotion工程领导、Johns Hopkins University硕士、B.Tech印度理工学院，坎普尔

点击此处查看幻灯片

演讲者

比尔曼宁

Bill是JFrog的高级解决方案工程师。他还是TechStars(耐克孵化器)、Matter和NestGSV的导师。他已经成功退出了3家公司，并在澳大利亚上市。他目前还以顾问的身份帮助各种初创公司。在业余时间，他喜欢和他的妻子和两个男孩一起旅行。他还弹吉他，热爱海滩，玩滑板。

视频记录

用户头像
美国-青蛙田
00:00:00
所有注意我的人都看着我。
00:00:06
这里有很多座位。
00:00:09
前排。
00:00:12
披萨拿走了。
00:00:37
我们录下来了吗?
00:00:39
是的,好的。
00:00:45
大家好，欢迎来到四月的最后一个区域聚会特别是在南湾。
00:00:52
我叫布兰登如果你以前没见过我我在这里看到了很多新面孔很高兴见到他们也很高兴见到一些老面孔。
00:01:00
当我在2014年加入这个分会时，我们只有不到100人，到今天，我们有大约5500人，所以我认为这是对你们所有人的见证，对我们所有的主持人和主持人为我们表演的见证。
00:01:20
是谁第一次在这里见面的?是谁让我来的。
00:01:25
好的，很好，我喜欢这个欢迎，欢迎回来如果你之前去过一些你可能见过我。
00:01:32
坐在后面的温迪也是新来的。
00:01:36
嘿，Wendy，如果你想了解更多关于这一章的内容来找我或者周三或者prashant你会帮到你的。
00:01:47
特别是，我们需要演讲者，我们需要内容，我们可以安排这些聚会，除非你把自己放在那里，如果你有一个会议即将召开，你想尝试一个新的演讲，这对你来说是一个完美的时间和机会。
00:02:00
感谢青蛙乔再次主持我们的节目离不开我们的合作伙伴和赞助商。
00:02:08
组织这样的活动需要做很多工作，看起来可能只是简单地点几个披萨，然后上来喝几杯啤酒，看一场表演，但是要做这些事情需要做很多工作，所以谢谢你。
00:02:20
同时，我们需要新的东道主，我们喜欢不断地回到这里，但如果我们只选择最简单的，这是不公平的。
00:02:28
关于我们的一个简短说明我们有一个行为准则通常他们有一张幻灯片，今晚我没有幻灯片。
00:02:34
这真的很简单，表现好自己，每个人都会相处得很好，如果你不表现得像我们刚才在zoom会议上看到的那样，你将被要求离开。
00:02:45
所以请不要让我们这样做，我们还没有这样做，谢天谢地。
00:02:48
今晚我们请到了两位演讲者，首先是我们的主持人J frog的bill manning。
00:02:54
他将谈论揭秘F炸弹对安全软件开发的影响。
00:02:59
如果你喜欢，我必须在我的工作中处理或者服从行政命令说，你必须有一个所有软件的软件材料清单你会知道这是非常热门的，我完成了。
00:03:09
然后abby shake会给我们讲云原生应用的弹性姿态，他是早期网络的CEO和联合创始人这就是我们今晚要讲的内容。
00:03:21
有一个小的客房出口到他们的浴室在那里我现在要闭嘴了我要把它交给我们的主人他们会给我们。
00:03:29
我想他们会送出一些东西。
00:03:33
如果你注册时用了假的邮箱地址那就太糟糕了，因为你不会去。
00:03:43
大家好，很高兴能见到大家大家在办公室参加我们的第一次私下活动。
00:03:52
我们，当我们听说，你知道有机会举办一个面对面的活动我们就抓住了它，我们真的。
00:03:59
我们期待着见到你们，所以感谢你们的报名，感谢你们来谈谈J frog，如果你不知道Jeff是devops公司，我们也为你保护你的devops管道。
00:04:12
我们有很酷的T恤，所以如果你想了解更多信息，请访问我们的网站。
00:04:20
关于我在J frog做的一些事情，我现在正在建立一个rust平台来确保你的供应链，所以如果你有更多的问题，我会把我的电子邮件发给brandon brandon或prashant，如果你想问我问题，如果你有任何压力，随时可以这样做。
00:04:39
关于J frog的所有问题都可以毫不犹豫地与我们联系，但是感谢您的到来并享受这次聚会。
用户头像
未知的演讲者
00:04:49
工作哦。
用户头像
美国-青蛙田
00:04:53
是的，我们有一个很酷的奖品，所以扫描扫描二维码或者去bitly链接注册，我们会抽奖，你会收到电子邮件通知，这是一个很酷的工具，如果你是幸运的赢家，你会得到一个3D打印机。
00:05:15
大家好，欢迎大家，我很高兴能分享这首歌。
00:05:24
我要等等，等等。
00:05:27
再来一次。
00:05:32
去一次，去两次，我觉得我在抽奖，我觉得我应该做的，就像你知道的，就像拍卖一样。
00:05:43
一旦我们有了二维码，每个人都得到了他们的入口。
00:05:59
在你们看来，但我会很糟糕，所以。
00:06:21
洗牌到这里。
00:06:50
好了，伙计们，我们把这个叫做揭开对安全软件开发的炸弹影响。
00:06:58
好吧，说起来有点拗口，但我们今天真正要讨论的是软件供应链的安全性以及为什么软件账单材料会成为一件事。
00:07:06
是的，这些天我们听到了很多关于它的内容，在过去的一年里，我们真正想做的是解释一些方法，一些背后的原因。
00:07:14
我们知道为什么我们会走到这一步，最重要的是，它到底是什么，它的影响还有，像神秘化任何可能存在的东西，人们对这些东西有误解。
00:07:25
我还有几个例子，这两种格式都是pdf格式和循环格式，这是一种软件物料清单的格式。
00:07:36
首先让我们从我是谁开始我是bill manning，我是J frog美洲新业务的解决方案工程经理，我也是一名销售人员，我也知道解决方案架构师。
00:07:48
我非常有趣的过去其实很有趣在我早期帮助创立的公司中，有一个人坐在这里。
00:07:55
他曾经是我的一家老公司的员工，但你知道我在这里的工作是与我们的客户群合作，做这样的谈话，最重要的是，我在公司做了五年多的不同的事情。
00:08:06
如果我跟你说话太快，告诉我慢点，我是纽约人，这就是我说话的方式。
00:08:10
让我们开始吧首先，软件供应链攻击，这是我们需要开始的地方，我们需要理解。
00:08:18
理由，推理不同类型的攻击，以及它们如何影响您和您的软件开发团队。
00:08:24
问题是，你知道这并不是什么新鲜事，你知道，真的，你知道，它不是一直存在的。
00:08:31
你知道，在很短的一段时间内它已经存在了很长一段时间，但我们会讨论导致它背后的原因的事件。
00:08:38
首先，我们经常看到这样的头条新闻，尤其是最近，我们经常看到诸如对漏洞征税之类的事情。
00:08:46
或者你知道，某种库已经被破坏了，所以你知道，我们在jfrog cna，我们最近制作了一堆简历，PM和其他类似的东西，所以我们在这类事情上投入了大量资金。
00:09:01
当我们讲完这整个过程的时候。
00:09:04
你知道，我们总是听到这个问题，问题是，我总是开这个玩笑，当我和我们的客户群交谈时或者我和其他人交谈时。
00:09:11
没有一家公司愿意因为错误的原因成为头条新闻，对吧，负面新闻确实存在。
00:09:17
突然发现因为一个愚蠢的软件供应链攻击一个库坏了或者你的软件中有什么东西突然你泄露了数据客户信息。
00:09:27
任何可以接受的可以解决的事情，这都是很正常的事情。
00:09:32
如果你看看历史上那些真正开创先例的事物，你知道，我们有所有标准的东西。
00:09:39
大的那个，当然会谈到他的单飞，但问题是，这已经持续了很长时间，然后我们在2012年开始，但说实话，它持续的时间比那要长得多。
00:09:49
当你想到软件供应链攻击时你会想到第三方传递依赖关系我们稍后会讲到我从小就是一个开发人员。
00:09:59
你知道我的第一份工作是开发，然后我做了各种各样的事情随着时间的推移。
00:10:04
但归根结底，作为一名开发者，我们有一种与生俱来的天真方法来完成我们的工作。
00:10:11
你知道，当我们看库的时候，我们需要执行我们所做的功能我们所做的事情。
00:10:15
我们看到背后的客观性，说这是一个这是一个工具，我需要完成我的工作，有我的KPI，让你知道我的冲刺结束，而不考虑所有随之而来的部分，我们今天将讨论这个。
00:10:29
你们知道，太阳风是一件大事它震撼了每个人的世界，唯一的原因是18,000个客户对18,000个客户受到一个问题的影响，这个问题非常。
00:10:41
这很有趣，它不是很复杂，但很复杂，同时，如果你不熟悉它的实际工作方式。
00:10:49
问题是他们产品线中的第三方第四级可传递依赖。
00:10:55
这个图书馆是和其他一些图书馆一起被引入的最好的部分是我很欣赏这个攻击的建立方式，问题是。
00:11:05
在最初的14天里，它没有任何作用。
00:11:08
所以如果你用这个软件，把它分发给他们的客户，在他们点燃它的那一刻它就会在14天后启动一个计时器，它确实是令人讨厌的，对吧，但问题是这真的是什么。
00:11:19
真正吸引人的是客户的数量，还有客户的类型国土安全部联邦储备银行。
00:11:27
是的，我的意思是，你可以继续列举所有使用太阳能和产品的政府机构，这真的把它放在这里，就是这样。hth华体会最新官方网站
00:11:36
现在估计全球需要1000亿美元的补救费用这太疯狂了，这只是一个简单的图书馆，如果你看看图书馆的大小，顺便说一下，它是1.27兆。
00:11:51
就是这样，它非常小，没有人知道它，但它是软件供应链的一部分。
00:11:58
所以当你想到软件，你在构建它的时候，你要记住你的软件有85%到90%是别人的软件，你有你的代码，其他的都在它下面。
00:12:09
你知道你依靠这些库来完成你的工作来建立你的产品，把你的东西推向市场，就像我说的，你试图尽可能快地完成它，如果你在寻找一些东西。hth华体会最新官方网站
00:12:19
需要一个字符串，它会做一个位图，不管你在做什么，你只想找到正确的工具，完成正确的工作，当我谈到这个软件的时候，我的意思是有多少人，如果你想在这里做mpm开发。
00:12:31
我在抄写，一对夫妇，对，我把mpm称为众议院派对你邀请了3个和5个图书馆的人来参加你的派对，对吗，你是否含蓄地说过，500人出现，可以破坏派对，对吗，事情是这样的，就像我们正在处理的事情。
00:12:46
记住，软件无处不在，自动化也很重要的一点是，随着自动化程度的提高我们的脂肪积累得越来越快，越来越快。
00:12:56
你知道，我们想要更快地将产品推向市场更短的冲刺时间，你知道的，在竞争中领先。
00:13:02
所有这些风险都被放大了，因为你可以更快地到达那里，你不应该因为想要更快地将你的东西推向市场而牺牲安全。
00:13:13
最重要的是，要记住，不是所有的软件都是由你的团队开发的，我的意思是，即使是你所依赖的传递依赖关系。
00:13:21
有其他的传递依赖关系它们有传递依赖关系它们是由你永远不会遇到的人建立的。
00:13:27
你们可能一辈子都不会遇到这样的人，你们信任你们的软件。
00:13:34
你看着这些人，你会想，好吧，我不认识你，但我天生就会信任你，这是一个问题，同时。
00:13:41
我们不想放弃这种方法，我们不想破坏这种天真，因为他让我们成为了更好的开发者，我们想要开发软件，我们想要开发。
00:13:53
问题是，所有这些潜在的攻击和所有这些正在发生的事情的问题之一。
00:13:59
最疯狂的是没有经济上的奖励也没有非经济上的奖励对吧这是无法追溯的夏天财政上的有些不是夏天只是我想要，我想要展示光明做到了。
00:14:09
对，我的意思是太阳风附着到今天没有人确定我追踪到哪里没有固有的橙色这是一个非常典型的场景，但很多吹牛的权利和董事会实际上是这样做的。
00:14:21
您使用的74%的库都要记住这一点，它们可以通过简单的修复来修复。
00:14:29
只要升级，注意你正在使用的软件，看看它的版本。
00:14:34
发现使用工具有很多安全工具，我的意思是J青蛙我们有X射线产品，但有很多工具。hth华体会最新官方网站
00:14:42
不管你用什么，你都有责任保护你的客户，你的用户，你的公司和声誉。
00:14:49
但问题是，大多数这些工具都提供了一些补救数据，你可以利用这些数据来确保你总是最新的，并解决可能导致问题的潜在问题。
00:15:01
问题是我这里没有他们通常会放的幻灯片，但问题是。
00:15:05
你所使用的80%的软件，这些可传递的依赖，你使用的是旧的，过时的，超过四年没有更新的，想想看，在很多方面，你都在使用过时的技术来构建最新的收获。
00:15:21
你知道，当你想到它占所有软件的99%，其中85%是由组件组成的，从2015年到2020年，利用攻击增加了62%。
00:15:34
我知道我有一个更可怕的数字，因为我停在2021年。
00:15:39
因为这是逐年增长的事实这些内在价值认为潜在的肮脏每天都在发生，激励更高进入的实际难度非常容易我们一会儿会谈到这个。
00:15:54
但问题是，为什么软件供应链攻击如此容易，为什么这是整个行业的系统性问题。
00:16:02
第一个是低成本，非常低成本，我的意思是很多这些都不是那么复杂，他们不需要做很多事情。
00:16:09
你们也知道另一件事不需要很多技术知识就能做到这一点。
00:16:15
另一件事是，如果你有正确的技术，你实际上你把这些双星连接到流行的项目上，比如太阳风会发生什么。
00:16:23
它在全球范围内部署的实际速度是疯狂的，因为事物变得越来越快，这是固有的问题之一。
00:16:33
另一件事是，当这种情况发生在滥用你，你的公司和其他实体之间的信任关系，甚至。
00:16:41
问题是，我的意思是有多少公司，也许在这个群体中，我不知道，但是。
00:16:45
有很多公司都有这些极端的措施，切断它，或者你必须继续前进。
00:16:52
并要求图书馆和信息安全委员会查看，评估二进制文件，然后授权给你，给你所有这些权宜之计，你试图做的公司试图阻止这一切。
00:17:02
问题是，它就像堵在一个该死的地方，它不仅仅是一个针孔，而是一个巨大的灰烬，你试图把你的整个身体都放在那里阻止它，但它不能阻止它继续流动。
00:17:14
但问题是，他们把自己埋在社区里。
00:17:18
这就是问题所在，很多攻击者在做他们所做的事情时，他们得到了软件包背后社区的信任。
00:17:25
他们和他们一起开发软件，他们做出贡献他们作为积极的参与者为邪恶的原因埋下阴影。
00:17:32
问题是，你不确定他们是否进入了后门或恶意代码或类似的东西，对，问题是，在公共软件的概念中，就像我知道你说过你有gfs。
00:17:44
我为很多开源项目做出了贡献，你加入的社区越多，你就会觉得自己是其中的一部分。
00:17:52
当你做出贡献的时候，你感觉很棒，当人们说你应该下载你制作的东西的时候，你就像人们关心，人们在使用我的东西。
00:18:01
但问题是，也有其他人看到了，然后说，嘿，我要，我要完成一个漏洞，只是因为我想要荣誉。
00:18:07
另一方面，黑帽社区，寻找混乱的社区对这些混乱的代理人或者只是试图让一个易受影响的社区，他们被接受，然后他们做的工作。
00:18:19
攻击是如何发生的，当我们讨论这个的时候，你知道我是一个开发人员在开发我的代码我说，好，这是我需要做的任务这是我需要做的api这是我需要做的sprint。
00:18:30
它们走向世界，我找到了所有的传递依赖关系来更好地完成我的工作，我可以用一个函数来做一些事情，但我需要一个函数的库以及我在其他库上调用的库。
00:18:42
但问题是，如果这些图书馆中有一个说了什么邪恶的东西我可以在不知情的情况下驾驶。
00:18:49
我把这个发给我的客户我只是发了一些我做过的不好的事情如果我要分享我的软件我在看一个网络服务诸如此类，不管你在做什么它是不是嵌入式软件都不重要。
00:19:02
问题是，在这种情况下，通常不是第一级传递依赖，它是我用来完成工作的隐式声明库。
00:19:10
问题是，这个库依赖于其他库，而其他库又依赖于其他库，它一直在继续下去。
00:19:17
所以我不知道我又做了这个库，我可能会把它带进来，但它的一个依赖关系实际上会导致同样的系统问题，我在运行时首先要避免的问题。
00:19:30
2021年，供应链攻击增加了650%。
00:19:38
想想看，问题是，我们之前讨论的数字是25%很低很低的数字，供应链攻击增加了650%。
00:19:51
大流行对无聊来说是可怕的，如果你感到无聊，你可能会这样做，所以问题是，你知道，在松树袭击的增加中，你如何保护自己。
00:20:02
就像我说的，有很多方法有很多工具。
00:20:05
如果你只使用github，你就有了可靠的方法，我的意思是，这是你可以使用的一种方法，就像我说的，我们有X射线，有潜入，有很多安全公司，但是我们都朝着同一个目标前进。
00:20:17
这就是软件安全，因为当我和我的客户谈论安全的时候这是我使用的一个产品，我会说，我要帮你，因为你有我的数据。
00:20:28
我是从个人的角度来做这件事的这是你几乎必须附加的方式当你采取这些固有的步骤来确保安全考虑到你，作为客户。
00:20:38
你的客户信任你你可以很容易地破坏这种信任相信我，有很多公司已经失去了对客户的信任和信心你知道，基于这样的用户基础。
00:20:52
当软件攻击时我们有很多东西如果你是开发人员，你会有。
00:20:59
Hypo squatting是的，有一群人已经建立了邪恶的库，在我之前他不存在，他之前我猜对了简单的事情，比如你错过了输入一些东西。
00:21:12
大多数时候，如果你不注意，你偶尔会得到一些东西，这可能是一些社交威胁。
00:21:20
还有其他问题，比如依赖混淆，这些都是巨大的系统问题，问题是。
00:21:26
你知道，有些公司发布软件供人们使用，我的意思是，想想netflix，我的意思是netflix定义了很多不同事物的标准，我的意思是我最喜欢的工具。
00:21:38
很长一段时间都是混乱的猴子我的意思是混乱的猴子只是。
00:21:43
我仍然喜欢它，我认为它是一款出色的软件，我的意思是，它的本质是完全具有破坏性的，但它显示了你所创造的东西的弹性。
00:21:52
但这些都是人们放出来的东西。
00:21:55
但是像这样的事情呢，你在外面，你想，嘿，你知道我需要什么，我需要一个库来做我想做的事情嘿，看，这个库只用于分析，这个库用于认证。
00:22:06
你知道吗，它来自PayPal PayPal是一个非常安全的实体银行，当你想到PayPal对银行的影响。
00:22:15
你想，如果你想从某人那里得到最高的安全保障你会假设保罗，是最了解问题所在的人。
00:22:23
这绝对是谎言，这不是贝宝的。
00:22:28
这不是，这实际上是有人把它放在这里，然后突然你输入了你的认证你把你所有的信息你的身份和东西都传递到了你不知道的地方。
00:22:39
谁知道呢，但这是一个很典型的攻击，对吧，这是一个假设你知道他们建立了假网站他们让你知道我是一个开发者PayPal之类的。
00:22:51
所以这就是软件账单材料成为一件事的地方，也是我们听到这么多的原因。
00:22:57
这些袭击，你知道的，增加了，就像我说的，当你开始和美国政府纠缠时。
00:23:02
是的，这将会引起世界上其他政府的反响太阳能，风能是点燃下一阶段的火种，这就是为什么我从政府开始，现在它已经渗透到其他部门银行医疗。
00:23:16
你能想到的现在都要有规章制度比如软件材料账单材料。
00:23:22
所以实际上在他们开始之前顺便说一下，这样你们就有了一点关于它的背景，它是如何开始的实际上是一个软件材料清单最初是从。
00:23:33
从食品和药物管理局到国家电信信息管理局。
00:23:42
这是因为医疗设备这就是FDA介入的原因在这背后，想想看你是在为让人们活着的东西写软件。
00:23:54
这些都是能致人于死地的东西我曾经做过一个完全是代码致人于死地的演讲我给出了一个非常可怕的数据关于有多少人死于软件漏洞这是一个糟糕的演讲，结果不太好。
00:24:06
但这里的想法是食品和药物管理局过来说在你发布任何医疗设备或任何用于人体的设备之前。
00:24:14
你知道可能会影响需要帮助的人的生活，你需要知道软件里有什么。
00:24:19
你需要知道它背后的部分，你需要知道信息，所以如果出了问题有责任方面有可追溯性方面，你会知道很多事情。
00:24:31
好吧，在2021年和5月12日，特别是因为太阳风的袭击，有约束力的政府提出了改善国家网络安全的行政命令，突然间一切都变成了现实。
00:24:46
现在突然间，你知道规则，你想与美国政府合作的规定，你必须在这些指导方针中做。
00:24:53
现在我不打算从头到尾读一遍，我确实读了一遍，花了我一点时间，因为我很困。
00:24:59
涉及到，因为它涉及到很多法律问题，但在我们的章节中，我们将专注于一个特定的领域，即加强软件供应链安全的章节。
00:25:10
他们认识到这是一个可能影响美国的潜在破坏性问题。
00:25:15
在这种情况下，就像我说的，现在全世界都是这样，所以不仅仅是美国很多政府实际上都采取了同样的心态。
00:25:24
就像我说的，你想让国防部突然在他们所做的事情上有一个开发我不知道。
00:25:34
发射核武器，我的意思是，想想这个，这些都是很含蓄的事情，但是第7节实际上谈到了这一点。
00:25:42
任何为政府提供基本软件的供应商都需要向政府提供一份软件材料清单，说明他们购买的软件的内容。
00:25:53
接下来，医疗行业立即采用了这一方法，包括医院和保险。
00:25:59
这已经被银行和金融机构接受了，现在它正在增长，所以很多公司都希望如果你和他们打交道，他们会开始向你要软件建筑材料。
00:26:11
所以它是什么，我不喜欢一直谈论软件，所以基本上因为是FDA，它是一样的东西，在那盒美味的德国巧克力里，光。
00:26:22
问题是，它甚至包括警告，对吧，可能含有小麦，也可能破坏了成分。
00:26:30
但这里的想法是让你知道里面是什么，这才是最重要的，所以我们来谈谈蛋糕。
00:26:38
我喜欢制定软件开发蛋糕，是的，我确实喜欢蛋糕。
00:26:44
所以，当然，你有一堆配料，你放入这个蛋糕，但这就是我的意思，这很有趣，我不会告诉你如何做它，我只是告诉你有这些这些东西，你需要放入和偏差量。
00:26:57
所以它实际上是什么它只是软件内部的成分列表，包括库模块，你知道免费，付费，专有都不重要。
00:27:06
那些被限制访问的东西，这些东西现在需要在这里，问题是，版本，还有这个，实际的库本身。
00:27:15
它还可以包括额外的信息，不是必需的工具环境信息设置版本，现在，这些都是你可以添加的东西，只是为了增强体验，我将展示SP dx和循环，实验，这些都是隐含的，只是为了让你知道。
00:27:33
最重要的是，它对问责制有什么用处，当然，它用于维护，你知道。
00:27:39
我有一个版本的软件和另一个版本的软件它们之间有什么变化，我们会讨论这个。
00:27:45
同时也允许人们进行谈判，当他们进行任何软件谈判或者购买你的软件或者类似的事情时。
00:27:53
他们通常会在合同或采购评估中加入这一点我们已经在一些采购人员身上看到过了。
00:28:00
他们实际上是在说，现在我们需要把这个作为我们的复选框项目之一，在我们发布乌托邦之前，作为一个公司来处理你。
00:28:08
最重要的是，它也适用于操作人员，所以如果你正在安装一个软件如果你记住每个公司都是软件公司，不管他们做什么。
00:28:17
好的，这里的想法是，这是一种实际上减轻任何固有风险的方法，通过理解软件的组成部分来引入软件。
00:28:27
在某些情况下，它还列出了一些东西，比如许可，任何与很多公司打交道的人。
00:28:35
你知道，被收购或类似的事情总是有一个关于许可的事情，确保使用你的软件的许可证是合规的。
00:28:42
仅仅因为它有一个开源许可证并不意味着它是有效的，世界上有435个开源许可证，你知道，是的，这是一个非常疯狂的数字435。
00:28:54
你知道如果不是其中之一你知道为什么每个人都有自己的优点他们所做的事情当然都处理过它总是令人痛苦的。
00:29:05
然后你就知道好处是什么了，所以首先要确定减轻和避免已知的漏洞，这是一件很棒的事情，你可以解析这个列表。
00:29:14
看一下软件组件，这很容易，因为它是标准化的格式，特别是循环dx和。
00:29:20
还有spx格式，他们的标准外国格式，那里有贷款机构，你可以在那里找到。
00:29:26
我们通过这些来快速查看是否有问题，我的意思是，大多数时候，大多数软件都是黑盒子，不了解其中的组件是很可怕的。
00:29:37
同时也要能够管理和限定许可，正确识别公司实际带来的安全无许可偏差要求。
00:29:44
对，他们已经对固有软件进行了资格认证，也对如何实际使用进行了全面的分析，甚至可能降低了运营成本，这是另一个讨论，我不打算深入讨论。
00:29:56
但它也能让你理解软件有很多东西对吧，就是很多东西。
00:30:04
好吧，让我们回到我们的蛋糕，因为有各种不同的类型和部分。
00:30:09
我们再来看看这个蛋糕这个蛋糕很漂亮，我们知道是有人做的，我们知道它是混合在烤箱里烤的。
00:30:18
对，它可能被装饰过，也可能没有我们希望它很好吃它可能很好吃我喜欢巧克力蛋糕，但是我们知道使用的材料，我们知道他们使用的材料。
00:30:30
所以当我看到这个的时候，我知道，但问题是，你可以增强它，因为你可以拥有更多。
00:30:38
你可以把环境要求也算进去，你还需要350度。
00:30:44
你知道，假设你知道这些组件依赖于其他组件，以使这个案例正确，问题是，有很多信息存储在这个层次的细节中，对于你构建的每个软件。
00:30:58
现在，如果我们看一下其中一种配料，我们来看看小苏打，这是蛋糕里用来做这个的库之一。
00:31:07
突然你得到了这个的下一个版本发生的是发酵粉看起来不太对小苏打发酵粉。
00:31:15
我不是一个很好的厨师，我以前也犯过这个错误，但问题是，你的结果是完全不同的。
00:31:23
这是同一层次的思想背后的实际做软件本身正确的知道是在两个版本之间的变化一目了然。
00:31:33
能够解析出两个软件之间的差异也有助于诸如补救之类的事情，如果某些东西变坏了，某些东西的错误并没有按照它们之间改变的方式执行。
00:31:47
作为一名软件开发人员和供应商，我向实际客户提供这些信息，当他们提出要求时，如果他们之间出现问题，他们有一个快速的参考点，他们可以说是的。
00:32:01
是的，这是不同的。
00:32:03
现在我真正想说的是让我们再看一下软件的例子。
00:32:10
好的，我已经开始了，我建立了我拥有的软件，你知道我在拉我的传递依赖关系，我建立了我要做的程序。
00:32:19
现在我可以制作一个软件材料清单了，这是一套套装，你知道，能够将它应用到这个软件上，我已经有了创建它所使用的所有成分的列表。
00:32:31
然后，当它进入时，我现在有了责任，我可以把它运送给我的顾客，他们确切地知道他们买了什么，就像我说的，你买任何食物，你可以随时查看成分。
00:32:44
现在，如果两个版本之间有什么变化，我可以在软件账单材料中反映出来，所以我知道。
00:32:51
如果我读了新闻，突然发现一些本质上很糟糕的事情，你知道，作为一个开发者，我或一个公司说。
00:32:59
嘿，你知道我读过什么，我读过这个东西有一份简历是关于一个用Java构建的库的漏洞，我想我们买的程序是基于Java的。
00:33:10
我可以继续查看软件账单材料，并立即知道我安装在我的环境中的软件是否感染了实际的潜在威胁组件。
00:33:21
这是一种快速的调解方式。
00:33:23
现在，就像我说的，有工具可以做到这一点，我们有我们的工具可以让你知道多久以前，一些东西实际上是被正确使用的，我们经常得到的一个问题是根本原因分析和公司的软件问题。
00:33:36
使用合适的工具集可能需要几天或几周的时间，如果您有可用的元数据来查找信息，则可以将其缩短到几分钟或几小时。
00:33:45
通过软件账单材料，你可以发现你是否受到了影响如果你是一家生产软件的公司，你也可以使用同样的细节水平来快速发现你可能受到的攻击有多远。
00:33:57
所以当你在看软件账单材料的时候，你发现了一些东西，你发布的每个版本都有一个软件账单材料，你可以检查这些，看看有什么东西消失了多久。
00:34:08
这让你有机会提前和你的客户交谈成为一个解决问题的人，在这种情况下是一天。
00:34:16
现在，问题是，这只是一个单一的软件，如果有很多层的东西呢，我总是拿这部分开玩笑，但是我说，你知道每个部分都可以不同。
00:34:25
没错，每一个都烤得不一样。
00:34:27
我不知道每一层都是谁做的，我不知道，但我确定放在一起很好吃，可能会有小苏打，发酵粉，可能会有坚果，这让我有能力去看看。
00:34:39
当我看到一个由多个不同层组成的网络服务时，你会有一个类似于主图表的想法，我称之为糖霜。
00:34:47
然后你有蛋糕的不同层，这可以是容器的实际积极面，它们实际运行下面的实际服务。
00:34:55
很棒的是，即使我看到像运行时这样的东西，比如docker容器它包含很多不同的东西，有应用层它有运行应用的运行时，然后有一个底层ios。
00:35:08
我还需要制作软件账单材料，因为再一次，所有使用docker的人你带来一个基本的图像，而不了解里面是什么。
00:35:18
你安装组件来运行它，这是一样的，就像我说的，当你构建你的软件时，这都是一个冒险每次你这样做，你带来一些东西。
00:35:28
是的，你可能你可能会读到一些有害的东西。
00:35:32
但问题是，当我们开始谈论web服务的时候，你就有了helm图表和docker图像，你知道是否有东西被感染了，我想知道它，并决定软件账单材料，甚至是单个组件。
00:35:45
现在，问题是，它可以包括一些东西如果你想包括你的ci工具如果你想说你知道它是什么时候建成的如果你想要所有的阶段，像任何类型的测试给你可能有一些。
00:35:56
向你的客户保证他们通过了可伸缩性测试。
00:36:00
对，你知道什么是培养你的组件所以自由和开源软件，他们是你知道那句古老的格言你知道你知道自由就像演讲而不是啤酒。
00:36:09
你知道，还有一个环境是测试版对吧，我的意思是，你知道你可能被发送到比debian更少的地方可能是窗口空间所以你MAC上的人可能知道。
00:36:19
是的，还有，是否有任何安全漏洞可能是潜在的威胁。
00:36:24
对，这些是，再一次，这些是你可以添加的东西，说有一个漏洞，但众所周知，这个漏洞并没有在软件中被使用，因为这个功能。
00:36:32
实际上，问题正在被使用，所以为什么我要把整个东西扔掉，然后你可以向你的客户解释，这样他们就不会说，嘿，你在用这个。
00:36:41
所以我们从人们那里听到的一些误解是，第一，这是攻击者的路线图我可以给你一堆东西，告诉我烤个蛋糕，我不告诉你，如果你们想要复制断裂。
00:36:55
你知道，其中一个挑战是他们没有给出说明只是给出了一个配料表每个人都试图解释最好的同样的想法，你可以尝试，但你没有所有的信息。
00:37:07
不，不，软件公开，你不需要公开你的软件源代码，如果你这样做了，有人问你，除非这是非法的，你有法律文件，没有人应该问。
00:37:21
最后，它不暴露知识产权知道它只有部分，它有部分你正在使用的东西它甚至不需要包括你的库，这样你就知道它不需要解释它解释了你在工作中使用的所有东西。
00:37:38
所以当我们离开这个权利，如果你想和我们政府合作，你需要有软件法案材料，这是现在改变的方式这是到处流血。
00:37:48
联邦航空局要求这项权利，当然还有很多政府机构，但就像我说的医疗，金融和其他机构或采用标准。
00:37:55
这是所有自由/开源软件组件的列表无论何时你在使用你所做的。
00:38:01
它为任何潜在威胁提供审计跟踪和可追溯性，它还保护您作为一个组织，所以不要。
00:38:08
不要忘记这一点，因为这让你能够超前思考让你可以说，是的，我们知道这里面有不好的东西，但我们已经在过去的六个月里有了，但我们已经解决了。
00:38:17
你可以通过给软件真实的材料来证明它已经更新了，别担心，我们已经修复了。
00:38:23
问题是，同时，它还提供了安全的许可遵从性信息。
00:38:29
所以，如果你曾经和你的法律团队合作，试着向他们提供，比如，嘿，你知道我们要申请什么，我们需要你向我们提供一份清单，列出所有使用他们所有许可证的图书馆。
00:38:40
好的，通常会有一个大的生长在旁边，我稍后会讲到。
00:38:46
这就是我所有的内容，谢谢，我将分享一件事，让你们可以看到，这就是标准格式的样子。
00:38:55
如果你看这里，你实际上可以看到哦，对不起，我正在做一些事情，把它放在下面实际上，如果你看这里，这实际上是一个SP dx格式。
00:39:08
从我创建的软件材料清单中你知道，它给了你软件背后的一些基本层次，它在我实际使用的模块的顶部有一个基本继承列表。
00:39:19
然后从下面开始它持续了一段时间这一大堆，这里有很多。
00:39:24
然后它进入单个组件，所以你可以看到，就像我说的，你生产的每一个小软件都是包裹的，可用的。
00:39:32
人们也在问的另一种格式是循环dx，这是大多数人使用的两种格式，如果你看这里，你会发现，这是一种不同层次的格式。
00:39:44
它有版本，然后它实际上把东西分解成它们的组件和相互依赖关系。
00:39:51
只是想让你们知道，就像我说的，这些都是现成的就在那里，我肯定会马上回答你的问题，但是，是的，这就是我今天的全部内容哦，谢谢。
00:40:05
的问题。
00:40:07
男人和蓝色。
00:40:18
对，其实不是。
00:40:21
就是这样，所以有人问的问题是是否会有公司采用这种方法并将其放入其他软件中，比如说问责制。
00:40:30
是的，我知道公司正在使用一些工具。
00:40:34
他们现在基本上是编目系统，所以现在，这是你的软件账单材料，现在有格式当然，公司去，嘿，你知道，这是很好的有一个目录。
00:40:43
所以有一些公司出现了，但很多公司只是把这个固有地存储在某个地方，这取决于是否没有标准本身，所以如果有一个创业的想法。
00:40:56
是的，德鲁，这样我就知道你的名字了，这样我就可以骚扰你了。
00:41:06
用你的出口，你可以独立出口和存储或者你可以把它存储在任何你想要的地方没有任何规定你可以把它存储在哪里只要它是可访问的，你可以提供它。
00:41:19
如果你想的话，你可以把它签入，你可以把它签入到你的good里，如果你在做一个版本，或者像我们一样，你在用我们的。
00:41:27
伙计，我要提一下我的公司或者我的作品担心，你可以，实际上如果你想的话，你可以把它作为账单的一部分发布，你可以把它上传到这部分是的，如果你想的话，你可以这样做它是独立的，是分开的。
00:41:45
是的，太单一了你生产的每一件产品都有一枚炸弹。
00:41:51
好吧，后面那位同学。
00:41:59
这取决于项目的规模哦。
00:42:03
哦，这里的这些，他们问的是典型的尺寸是什么，说实话，我不太确定我必须去看看桌子上的实际尺寸然后告诉你。
00:42:12
但我能找到它，它只有几个K。它不是。它只是json数据，如果你看它它基本上是json数据的重新格式化版本，你知道我的意思是，在每个大。
00:42:24
好了，还有一个。
00:42:31
好吧，这要看情况了，如果你看这里，如果你看这个，我觉得这是这样，这是这样，这是X格式的循环，对吧，这个没有，我还在显示，我不确定。
00:42:44
这可能会有帮助抱歉，让我回到分享，我的我可能会有帮助，如果我展示的是正确的。
00:42:56
是的，如果你看一下这里，你会发现这里没有任何哈希值，如果你看，但有些这取决于，比如有些你有正确的所以这里有一个检查。
00:43:07
对于单独的组件，但这很有趣，因为其中一些没有当你进入如果你进入像这一边，是的，每个人都有支票。
00:43:19
嗯，大多数软件计算检查可能只是显示为空白，如果你看一下，实际上显示为空白。
00:43:27
一个。
00:43:50
所以问题是，你知道，为什么有些图书馆是预先认证的，你知道我们如何事先对图书馆进行认证。
00:43:58
这是个好问题，有一些公司有资格这么做，但大多数都是独立开发者。
00:44:04
而大多数独立开发者都希望他们能够创造出自己想要的内容。
00:44:08
但是你知道，就像外面的公司，就像我说的，有很多工具。
00:44:12
扫描这些漏洞，就像我说的，我们有我们自己的，所以我们可以看到摄入的潜在威胁和漏洞。
00:44:19
在它们被利用之前确保它们是安全的在它们被利用之前，说实话，很多这些漏洞不会被解雇你知道，弄清楚以后我的意思是，看看J的日志。
00:44:29
对Jay来说，这件事公开多久了，然后有趣的是，顺便说一下，在实际问题发生之前有很多信息和警告说这是秘密的有调查，但没有人注意到。
00:44:46
谢谢你们，我不知道下一个是谁。
00:44:53
他来了。
00:44:58
里面有我们的风云人物，加油。
用户头像
未知的演讲者
00:45:10
谢谢你！
用户头像
未知的演讲者
00:46:59
不。
用户头像
未知的演讲者
00:47:37
是的。
用户头像
美国-青蛙田
00:47:52
好的，我们准备开始了如果你们不介意再坐下来我们有请下一位演讲者Abby shake。
00:48:01
从早期的网络。
00:48:04
并交出了复查。
00:48:07
所以我要谈谈云web应用的弹性姿态。
00:48:15
这个团队是关于我们如何创建自我防御的应用程序，即使它们很脆弱，它们如何在脆弱的情况下进行防御和恢复。
00:48:25
我的名字是abby shake sing，我是早期网络的创始人兼首席执行官，我是被思科系统收购的迭代分析公司的联合创始人，我也是CSA零信任专家组的核心成员。
00:48:39
这是我的。
00:49:04
极速掉线了，所以。
用户头像
未知的演讲者
00:49:47
是的,阿们。
用户头像
美国-青蛙田
00:50:13
这些是IBM的一项研究的亮点，主要是发现漏洞的时间是27天，这显然是昂贵的，美国是受攻击最严重的国家。
00:50:28
但主要的主题是没有人是安全的，即使一个人有一个服务器被勒索1500比特币，他们也不总是谈论它。
00:50:37
但没有人是安全的，不仅仅是大公司，这是一个真实的故事，来自一个酒店业的朋友，他有一家酒店，他花了1500美元收到了勒索软件，他付了钱。
00:50:49
大部分都没有被报道。
00:50:56
再次缩放窗口。
00:51:20
Zoom正在连接。
00:51:30
投影在这里。
00:51:43
还在联系。
用户头像
未知的演讲者
00:52:07
是的。
用户头像
美国-青蛙田
00:52:57
因此，就弹性而言，我想到的是零信任这是一个非常恶意的术语，每个人都使用每个供应商都使用这个术语零信任我不是在这里推销零信任本身，而是告诉你这是什么零信任实际上很简单。
00:53:14
所有美国总统都受到特勤局的保护你需要回答三个问题，谁是总统。
00:53:24
他一直在哪里，谁能接近他。
00:53:27
你不能通过守卫美国边境来保护总统他们有非常简单的问题要回答，这是我的重点。
00:53:39
这是行不通的。
00:53:49
我确实是。
00:54:26
你们彼此交谈。
00:54:30
技术上的困难。
用户头像
未知的演讲者
00:55:04
新中心。
用户头像
未知的演讲者
00:55:46
它已经。
用户头像
未知的演讲者
00:56:11
你又来了。
用户头像
未知的演讲者
00:56:14
玩一个。
用户头像
美国-青蛙田
00:57:01
所以零信任是一种策略，你需要回答的主要问题是，你在保护什么并定义最小特权策略来保护资源。
00:57:10
零信任可以应用于任何原因，当应用于vpn时，这意味着零信任网络访问可以应用于任何资源，你试图保护vpn是DNA或云我是。
00:57:26
我们要讲的是四个app。
00:57:29
如何用零信任的概念来保护应用程序。
00:57:34
这是零信任的一个很好的定义，根据这个定义，外围防火墙是一个有效的零信任设备。
00:57:43
Right to the firewall是不可信的，在防火墙可信之后，但仍然是基于边界的防火墙防御不被认为是零信任。
00:57:51
原因是在执行点和资源之间存在很多信任。
00:57:56
这是一个问题，如果入侵者在内部，他们可以访问资源并跳过检查，这就是问题所在。
00:58:02
防火墙是一个零信任的设备另一部分，是策略谁为防火墙写策略使它的特权最小所以写策略一直是一个困难的部分当人们试图实践你的信任时，所有的都是关于谁正确的策略。
00:58:18
就需要改变的方面而言，我们一直依赖于外围防御，不仅仅是在Prem上，甚至在云上，我们谈论vpc虚拟私有云，你依赖于它是一个。
00:58:30
外硬内软的外壳多为连开券，往往是硬经历期。
00:58:36
这需要改变vpc内隐含的信任，必须用持续的验证来取代我是基于信任的，你不能验证一个，然后让它永远访问正确的，你必须每次都验证。
00:58:48
这是战略解读，你得假设你违背了零信任。
00:58:52
意味着你假设被破坏，但仍然有弹性，能够防御，这意味着你假设在你的VPC内部有一些不好的元素。
00:59:01
在我之前的演讲者谈到了供应链攻击和太阳风，你必须假设里面有太阳能烤箱，你还能适应吗。
00:59:09
请记住，您必须优先考虑每个应用程序内部的安全性，以便每个应用程序都具有自我防御能力，因为另一个检查已经从外围移动到应用程序本身。
00:59:19
所以你可以在APP附近创建一个防火墙功能，这就是为什么它会在资源上自我保护你的情绪零信任。
00:59:28
零对我们来说是如此的流行，它已经被应用到多个维度，这是。
00:59:34
我想强调的是，APP实际上是核心，这是微软的幻灯片，它有七个支柱，零信任身份，这是你的okta，我把一个代表供应商。
00:59:46
让我们更容易理解每个支柱的含义，所以我们谈到了端点它是关于hdr hdr人群罢工微软坐在那里，应用程序我们在那里玩网络这是你的微分割你可以用字母来分割你的网络，还有一些。
01:00:03
从vpn网段的角度来看，作为这些玩家。
01:00:07
在基础设施方面，你可以对你的虚拟机环境或网络零信任，而vmware是基础设施领域的参与者，但再次强调，关键是它不是。
01:00:17
如此混乱，如此复杂，实际上比这简单得多，这是这次演讲的主要收获，如果你做到端到端零信任。
01:00:26
剩下的就消失了它们不那么重要了它的意思是互联网开始的时候。
01:00:32
所有的层都是不安全的，然后你有最大的SEC层到IP SEC层，第三层ssl层，但是当你有APP到APP的安全。
01:00:40
你不需要用心你不需要确保电线的安全确保电子和质子的安全当你有APP时这才是最重要的。
01:00:47
它消除了对基础设施网络和端点零信任的需求，你最终会在中间拥有这些人并不重要。
01:00:54
如果你爱你的数据，你就会保护应用程序，如果你真的爱你的数据，你就不会把数据放在你家门口。
01:01:00
In encapsulation将把它隐藏在一个应用程序后面，这就是为什么APP是一个核心，不仅对于其他七个层，而且对于被封装的数据也不会暴露互联网。
01:01:12
用户或其他野兽的身份验证非常不同，你有我的用户，但app没有MFA所以他使用API秘密，这基本上是一个激进的密码。
01:01:23
使用secret来验证应用程序，它和密码一样弱。
01:01:27
密码被盗，密码被收集，密码被分发，密码被复制所以这对应用程序来说是一个非常糟糕的地方。
01:01:33
美国已经升级了，所以剩下的，我们可以把它作为APP来处理，所以即使上一张幻灯片让人困惑，它的本质是由APP捕获的，这就是为什么这是一个很好的地方来思考如何带来零信任元素的应用程序安全。
01:01:48
这是我做的另一张幻灯片，这是马斯洛的安全需求层次这是一个三角形你从保护你的皇冠上的珠宝开始总统是你的零信任。
01:01:59
重要的事情，如果你做得好，你就可以，你可以去睡觉，你可以睡个好觉。
01:02:05
事实是，你犯了错误，你必须要有深度的防御，但要假设事情会出错，这就是为什么你要追踪漏洞，你要确保这一点。
01:02:14
即使我留下了一些敞开的门，我也不是脆弱的，寻找漏洞并试图修复它们，这将使你心烦的是，你四处寻找要修复它们。
01:02:24
关键在于你不能止步于此，尽管你已经付出了巨大的努力去修复漏洞，但你仍然需要潜行。
01:02:31
所以当你潜行的时候你会怎么做传统的控制现在的控制他们正在做一些机器学习来检测威胁它非常嘈杂，非常。
01:02:40
它会导致疲劳，就脆弱性而言，它也会导致疲劳，它导致疲劳的原因是猫对第三方的限制太多了。
01:02:50
依赖第一方发生的事情太多了，有太多的噪音。
01:02:55
如果你做了I am for Apps这个特权做得好，它可以解决你所有的支柱，如果你做了I am for Apps你就保护了你的皇冠上的宝石是零信任，如果你做了你的im for Apps。
01:03:08
你不需要担心漏洞这是演讲的主要部分，如果你需要，我支持app，因为巴西补丁。
01:03:15
这意味着你的应用程序可能是脆弱的，但它不是可利用的你不需要开始在应用程序中使用这个，你实际上可以。
01:03:24
我并不是建议你不要修补你的应用程序，你应该修补你的应用程序，但不要让每一个漏洞都成为你的消防演习。
01:03:31
你的时间因为你不在而不能被利用这就是零信任的力量。
01:03:34
即使你做得很好，你也无法修复，因为在零信任的环境中，威胁是被设计锁定的，你没有特权。
01:03:41
特权是通过你的环境中的外来元素来分配给身份和威胁的，他们没有特权，所以它涵盖了我们安全的所有三个方面，这是一个你可以在任何地方获得很多好处的地方。
01:03:57
这就是他们今天使用云的方式，从它传递到SAS，很明显，你租用了整个vm，运行在Cooper爸爸的集群上。
01:04:07
在过去的情况下，你运行Lambda函数，SAS的情况下，你消耗api它可能是一个salesforce的东西，一个浏览器，也可能是s3 s3 SAS，你消耗api。
01:04:18
但最低限度是，即使是你自己，也有人在写应用程序，补丁，如果他们维护它，但作为云的消费者，你仍然要做，我是，我是有零信任的语言，所以责任在我身上，即使是SAS，也有其他人在写。
01:04:37
云提供商所做的就是保护云提供商的资源无论何时何时你的应用程序访问它，它都会给你一些。
01:04:47
亚马逊有一种基于角色的RDS访问方式，这是一个很好的选择，但是如果我有自己的数据库，如果我有第三方的数据库呢。
01:04:58
云提供商不会在那里保护你，所以你必须依靠安全组网络控制抽象下降，所以我有一个现代的零信任抽象，当你远离它下降的那一刻。
01:05:10
而不是你移动我的功能到应用程序，但每个应用程序都有我们的授权引擎内置到它。
01:05:18
你可以得到所有的链接，不管它是无数的资源，第三方资源，你自己的资源还是勒索软件，你可以始终如一地检查所有的链接，这就是将你自己的控制以一致的方式带到任何云上的力量，你可以获得应用程序的安全性。
01:05:35
所以，回到云的问题，我们是。
01:05:40
非常脆弱，我们和以前一样脆弱，因为有太多的事情可能会出问题，云的规模和部分。
01:05:47
有配置问题，可能发生在所有的依赖和供应链攻击输入导致的内部，没有。
01:05:55
你不能因为你的外围控制vpc控制了已经坐在里面的人而感到安慰，第三，你是脆弱的应用程序，你的web应用程序是脆弱的，有人可以攻击和惩罚你，把他们的代码放在里面，在那里启动一些东西，造成问题。
01:06:11
所以这次演讲的主题是我们非常脆弱。
01:06:18
但是思想需要超越脆弱利用能力，我可以脆弱，但让我坚强脆弱的反义词是坚强，如果你。
01:06:28
如果你这一周很脆弱，要有韧性如何保持韧性，即使你很脆弱，你也不会倒下即使你很脆弱，你也不会被利用这就是零测试让你做的。
01:06:41
这是一个你如何变得有弹性的框架，也是我们作为一个社会如何管理隐蔽的框架。
01:06:47
第一步是确定确定易受伤害的人群，糖尿病患者。
01:06:51
人们给他们接种疫苗是为了保护他们，给他们接种疫苗你不可能给每个人都接种。
01:06:55
就像零信任一样，你必须为重要人物的总统接种疫苗，你为其他人建立了测试中心，一旦你找到他们，你就隔离他们，释放他们。
01:07:04
“消失”，库珀说，这是社会的弹性，但这是nist希望你做网络安全的方式，就是这个网络安全框架。
01:07:12
不幸的事实是，它不起作用，因为我们已经变得非常被动。
01:07:16
是的，变得非常被动，因为这将检测到回应恢复是一件被动的事情你没有主动说，如果你没有采取有效的控制来达到零信任。
01:07:26
如果检测问题需要27天如果测试需要600天才能回来你要么死了要么根本不在乎。
01:07:33
这就是为什么这个循环不起作用这个大的弹性循环不起作用。
01:07:38
你回去识别和保护，即使是被动的，你也在捕捉漏洞，识别是被动的，当有人抛弃自由时，你可以修补它。
01:07:47
从爆料到打补丁之间发生了什么事，据偷偷打了一个补丁。
01:07:52
事情可能会更快66666分钟，6分钟发生的事情被破坏了，或者发生了一些事情，因此在响应方法中仍然缺少连续授权级别。
01:08:04
这可以通过对应用程序安全性采取更积极的态度来改变。
01:08:09
我们在这里说的是，你的申请表上有一个连续的授权印第安人。
01:08:13
一旦你的应用被保护，再次识别你不能锁定所有东西，但你可以让这个未决授权在监控模式下运行，但每个应用。
01:08:22
并且持续地守护着每一个APP所做的事情。
01:08:27
当某些事件发生时，我没有它的签名，但不是为了发生，我没有它的签名，它仍然会实时响应。
01:08:34
因为我会看到一种我从未见过的新活动它消除了威胁的噪音它减少了政策的影响，给你一个清晰的画面这就是我们如何变得积极主动。
01:08:45
你不需要花上100天的时间来发现一些实时发生的问题，认真地说，每个应用程序的每个活动都是经过授权的。
01:08:56
这是我们处理应用程序漏洞的传统方式，我称之为物理修补，这需要时间，你必须。
01:09:05
重新编译，你必须重新测试，你必须确保，没有什么是坏的，有时你甚至不能修补它不兼容兼容的补丁是不可用的，所以修补并不总是一个选项。
01:09:14
所以人们已经知道了，他们提出虚拟补丁是一种解决方案，所以整个基金会对虚拟补丁有很大的宣传。
01:09:21
它说，这是一种合法的方式，确保你有一些补偿控制来弥补问题所需的时间，也就是说，这也是非常被动的性质。
01:09:32
所以。
01:09:36
虚拟补丁是做内容过滤，这是一种技术使用，你需要从某处获得签名会做门户补丁，所以在你的顶部和嘴唇之间仍然有一个缺口。
01:09:45
在这段时间里发生了什么你不知道它的黑名单基础每次有不好的事情发生你会得到一个签名那个签名可能有问题，恶意软件可能。
01:09:54
只有做多态转换来击败她的签名，并不总是受保护的，但我为应用程序。
01:10:01
没有签名，它是主动的，我不在乎漏洞是什么如果它有，新的活动，它去了一些外国状态，我被捕获了它会捕获每个基于我身份的应用程序的每个活动。
01:10:12
如果有任何访问，它会变得很长，日志记录会产生很大的影响。
01:10:18
它不只是被记录下来，它可以被强制执行，当你强制执行它永远不会出去它可能是脆弱的，一些外国可能在你的供应链中植入了一些代码，它从来没有购买它，你被阻止，因为你主动执行它。
01:10:34
这就是为什么，如果你有弹性打包你的东西你的应用程序不会被利用它们不会和陌生人说话，因为我们的边缘防火墙会评估每一次访问。
01:10:43
它不会在外面说话，不会有任何后门问题，因为我不会让它出去，它在攻击者的影响下教导不正当行为这就是弹性补丁的力量它是主动的。
01:10:53
相对于仍然需要等待签名的虚拟补丁，这些签名在这种情况下可以改变，它是主动的，一旦你把这项技术放在适当的位置，你永远不会错过任何东西。
01:11:06
所以身份一直是我们取得进步的关键驱动力，就像我对用户说的，我们已经超越了vpn，现在我们正在做cta。
01:11:17
我们已经超越了密码，我们今天要做的是我，不幸的是，数字身份仍然存在于密码的黑暗部分。
01:11:23
于是有了一个网络行业和网络微分割的尝试，零信任的名称，使至少特权，确保你可以包含一个。
01:11:32
威胁，没错，但效果不太好，因为你们的身份是基于网络的。
01:11:37
你有一层七层的身份，在云中不断翻腾你的政策不断变化。
01:11:43
这就是为什么你不应该警惕问题之神，它不是稳定多年，而是给你价值什么。
01:11:49
我们为APP提出的目标是身份聚焦，如果你给每个APP连续的身份，它不会改变，稳定，你可以在prod中发现采访。
01:11:59
它不会改变，每一次部署都解决了你的政策波动，这也是警报的波动，我们的警报没有加入稳定的东西，这就是我是应用程序和身份焦点的力量，它从网络中分离出来，给你两个我是应用程序。
01:12:17
所以这种弹性补丁也为你提供了一个深度防御，如果老式的web应用是单一的现代应用。
01:12:28
基于微服务，所以一个大的应用变成了20个微服务，一个微服务被破坏了，它不会给其他人带来风险。
01:12:36
它创建了一个自然的深度防御，因为跳过一个微服务，它将被登录，入侵者将被锁定在源头。
01:12:44
它没有能力超越第一个微服务，这就是为什么它在今天的现代社区云世界中深度恢复防御，它是一个平面网络。
01:12:53
在vpc内，它是扁平的，每个人都看到社区内的每个人，每个人的潜能，每个人的其他部分，所以一个部分受到损害，其他部分都处于危险之中。
01:13:01
有了这种弹性补丁风格，每个APP都可以被修补，每个APP都成为需要跨越的边界。
01:13:08
这就带回了深度防御，你的数据被隐藏起来了，你仍然需要跳过一些环节才能获得你的数据，这在云计算世界中丢失了，我们曾经有过三层架构，而旧的学校已经消失了，现在也丢失了。
01:13:24
所以我们讨论了弹性补丁和零信任，但它仍然没有结合起来像弹性补丁这样的东西如何帮助APP不被利用所以我们在这里举了一个真实的例子，这个例子是。
01:13:39
飞行日志。
01:14:28
因此，您可能听说过Jay的slot，但是通过这种连续的授权竞赛验证，您会看到一个非常不同的视图，它看起来有多长。
01:14:38
是的,请。
01:14:44
我觉得音频出问题了，如果有问题我会陪你走的。
01:14:54
太可怕了。
01:15:10
还有，这里有一根狗骨头，描绘了那个容器和可居住的过程把容器变成了奇妙的T，我可以看到他们的晚餐被锁住了，如果我把视图换成应用程序，就像从头开始回放一样。
01:15:24
我们开始的时候。
01:15:30
在上一个视频中，我们看到了CV 44228，也被称为Jay的锁，可以很容易地利用它在任何可怕的环境中获得立足点。
01:15:42
现在我们来看看如何应用常驻补丁的概念来防止这类攻击。
01:15:50
在右下方的机器上，curl命令可以攻击任何Java进程并在其上获得一个后门，右上方是一个Java屏幕。
01:16:02
右下角是攻击机我们在这里做的是托管一个恶意应用服务器。
01:16:07
Java的人会去APP服务器下载一些坏代码在左边建立一个后门然后在那里得到一个Shell，我们在之前的视频中展示了攻击，这里我们展示了缓解和攻击的样子。
01:16:21
现在回到前面，这是APP在正常操作和兴趣进入每个Java和ssd进程时的样子，没有ego连接。
01:16:32
这里还有一根狗骨头，描绘了那个容器，这个过程有能力把容器装上，很好，我可以看到那里锁定了4G LTE。
01:16:43
如果这是我们在身份和访问方面追踪的东西而不强制执行任何东西，它会让攻击通过并确切地知道它是如何发生的。
用户头像
未知的演讲者
01:16:55
我把视图改为应用程序声明，我可以得到一个稳定的视图，我看到我的个人笔记本电脑IP连接到前端，然后连接结束。
用户头像
未知的演讲者
01:17:06
在此之后，您可以看到一个连接将启动下载so cat，它将用于执行反向显示。
用户头像
未知的演讲者
01:17:14
由于这些都是应用程序的意外行为，如果我转到警报页面，它们会被标记为红线警报，我可以看到发送给SEC OPS团队的警报列表。
用户头像
未知的演讲者
01:17:25
现在来补救不像其他工具早期可以立即可敬的过程，而居民触摸。
用户头像
美国-青蛙田
01:17:33
我可以为容器选择正确的连接，并在美妙的APP上打开常驻补丁。
01:17:39
在这种情况下，只允许进入和新的渴望，这意味着与旧的APP服务器的连接被有效地锁定。
01:17:47
让我们回到术语，我们运行命令，这次我没有得到任何响应，作为攻击者，我无能为力。
01:17:57
有了早期的技术，你就可以在专利申请中发现并修复J类LTE的锁定。
01:18:06
如果这听起来很有趣，可以去早期的networks.com找到一个免费的主题，这里是签名少，不需要签名来检测锁，对他们来说。
01:18:14
仍然很脆弱仍然很容易受到一些通过curl命令进入的攻击但你不会被利用它不会被恶意的Dev服务器利用。
01:18:22
创建一个后门，所以，尽管没有签名，你被主动保护了你不会被利用这就是主题。
01:18:30
再一次，很多人做扫描然后告诉你，你锁定了很少的人给你药物对抗它零信任有力量它有力量把事情限制在最低限度。
01:18:40
没有签名可以防止不好的事情发生，所以你很脆弱，无法被利用。
01:18:45
这个平台的美妙之处在于它很容易安装所以一旦你在你的键盘上安装了它的集群它就会自动检测到所有这些行为它准备好应用补丁为你修补所有预先发现的补丁。
01:18:58
因此，如果你必须手写这份政策，这是很难的，好处是零信任是好的。
01:19:05
没有人使用它，没有人使用它，因为写这些政策太难了，权力在发现中为你重新发现，你应用了一个补丁，你被保护了一辈子，所以当。
01:19:15
有一个外部平台来检测一些东西，一旦你过去了，这是一个补丁，永远防止。
01:19:22
你可以慢慢来，我并不是建议你不要修补你的应用程序，绝对要这样做，不要让所有这些事情都变成消防演习。
01:19:29
这就是弹性的力量，所以当人们考虑让他们的网络应用程序或应用程序具有弹性时，零信任是一种工具。
01:19:37
这是从基础设施转移到应用程序开发人员手中的，现在他们有发布的权力。
01:19:43
政策得分，所以这是我的零信任政策，但我的APP可以，你可以把它作为代码发布，你的APP和政策结合在一起，所以APP正在成为世界活动的中心。
01:19:56
SEC OPS，将成为一个APP功能甚至是政策，而我们的功能传统上这些控制都存在于基础设施中。
01:20:03
我们正试图让它以APP为中心，所以现在APP SEC OPS你可以看到你的APP做了什么供应链做了什么，即使你有。
01:20:10
多层次的供应链是你在你的前提下运行的回应，你必须知道它是做什么的，它会让你看到你做了什么，如果有人隐藏在你的APP里，你会知道的。
01:20:19
你永远不会盲目地生活，永远不会错过任何东西，这种思维方式的力量在于它是一种工具，可以让你的应用变得有弹性，晚上睡得好。
01:20:51
你好。
01:20:53
是的，抱歉，不是这个演示，是的，他开始的时候我们讨论过。
01:20:58
我说，我说的是零信任，问题是，它是向上的吗，这之间什么都没有，这都是关于应用程序的。
01:21:04
那么你如何将零信任原则融入到我们编写应用程序的方式中?主题是政策作为代码，你可以创建。
01:21:11
零信任策略作为你的应用程序的代码，即使你的应用程序有传递依赖，你可以控制它们做什么，你可以负责做什么，是的。
01:21:33
如果你想到勒索软件Malcolm，是的，问题是我们所说的应用程序是什么意思所以当我们谈论勒索软件和恶意软件时，他们不是用户，是恶意代码，它是你的前提，它不是用户。
01:21:56
这个演讲有两个要素，零信任对这两个都有帮助。
01:22:02
它让你的应用程序自我防御以前在外围运行的防火墙功能在你的应用程序上运行，所以如果你需要与其他五个微服务交谈，这就成为了策略。
01:22:13
只有经过授权的实体才能与你的APP对话，即使你很脆弱，入侵者也无法与你对话，即使你很脆弱，也没有人能听到。
01:22:21
合法的应用程序没有利用你的动机，所以它为你自己创造了零信任，因为我的旁边有一个防火墙功能来保护我的应用程序，这是它的一个方面。
01:22:33
在某种程度上也是APP，它是恶意代码，恶意软件，勒索软件是代码，它不是用户支持，也需要我的许可才能做任何事情。
01:22:44
而且，根据定义，它没有任何特权，它是一个非法的应用程序，如果你建立良好的治理，你的公民很容易发现它包含在你的环境中。
01:22:53
它是一个权重，所以找到威胁的两种方法是通过寻找不良行为我知道一个坏人，反之亦然黑帽和。
01:23:01
这是一种不好的行为，对吧，但另一方面我知道我是一个好人，我把我的相机的脸，任何不符合这些好人的违规方法是不好的。
01:23:10
这就是为什么对优秀应用程序的良好治理的零信任也会让你这样做。
01:23:15
把坏人关进监狱，他们一出生就被关进监狱，无论他们在哪里，他们都不能做任何事情来控制这个源头。
01:23:21
有一个政策适用于合法的应用程序和非法的应用程序非法的应用程序是你的威胁，如果所有合法的家伙做他们的工作，做零信任政策，根据定义，坏人没有特权。
01:23:34
如果每个开发者，每个应用都有这种保护就能把坏人挡在门外。
01:23:53
这是个好问题，问题是，我提到了xdr和。
01:24:10
是的，所以我在这里说过，问题是，我还需要明年的时间吗，什么是正确的我展示的那张幻灯片是马斯洛的安全需求层次。
01:24:21
首先是控制，然后是漏洞管理，最后是技术管理如果你没有信任，你不需要任何你做过的事情，但这不是一个完美的世界，每个人都生活在管理中，你不想很好地衡量，他们会对管理造成威胁。
01:24:37
从某种意义上说，外界明年要做的是印度的电视，他们有很多背景，来自网络的最终接触点将他们结合在一起，成为X博士。
01:24:45
他们所做的是将所有这些指标或遥测数据放入安全数据湖中，然后将其转化为实时检测。
01:24:55
我们正在做的是，我们正在拼接端点上下文，身份和网络上下文，并获得相同的结果。
01:25:04
所以你把端点和网络结合起来的原因是因为网络是可见的行为如果你把一些东西隔开，它是安全的，它是非常安全的。
01:25:13
如果你是一个入侵者，你仍然说网络，加上端点环境给你魔力，是的，你可以消除明年你不需要那些人，他们是被动的。
01:25:24
你如何处理一个这样的问题是我们如何处理细节数据表明，如果一个恶意的家伙放了很多。
01:25:33
在我看来，当亚马逊有一个多样化的上帝时，保护应该来自云提供商。
01:25:41
绝对要用它，你想用它的原因是，如果我提供了一项服务，扩大了规模，得到了亚马逊的支持。
01:25:47
亚马逊正在为你做这件事，他们会照顾它，我不需要扩展来防御ddas，这是一个不适用的功能，你必须包含它。
01:25:55
亚马逊层的基础设施，因为你不想扩展，然后在亚马逊保护它，如果我必须这样做，你不会对规模收费。
01:26:03
我们为扩展和处理它而收费，这就是为什么它不属于APP这是一个基础设施的事情，让他们在他们的基础设施下，这不是亚马逊，让他们处理它。
01:26:25
这又是一个很好的问题在幕后发生了什么，它有什么新奇之处，让我用一种间接的方式来回答你的问题。
01:26:35
网络安全的抽象概念并没有改变，在思科公司被称为苹果，被称为防火墙，五个人的基础知识，或者Linux系统的IP表。
01:26:49
IP端口我的人我不能在IP表中表达这些策略，我不能，我本来很喜欢用IP表来建立我的目的。
01:26:59
使用VPN构建防火墙VPN是一种现代机制，允许您及时编写内核代码。
01:27:05
使用它，你可以创建奇特的障碍，所以我们已经创建了一个类似防火墙的抽象，它的语法是零信任身份和特权。
01:27:13
你甚至不能在传统Linux IP表的防火墙中表达基于DNS的策略，你不能说我不能与google。com对话，你必须将其转换为IP和端口5，这就是抽象给你的全部。
01:27:24
给了我们一个更好的吸引力，身份障碍，在一个副总裁层，而不是谈论网络，我正在跟踪思科谁在做连接促进接受。
01:27:33
在我正在做的事情的掩护下，我正在跟踪谁在做连接，并接受哪个身份，哪个工作负载，哪个进程。
01:27:40
然后看看谁能和谁说话没有联网这个进程可以和那个进程说话，让网络IP不管它是什么。
01:27:47
但是为了让你们执行，我确实使用了网络，所以我有气隙，坏人气隙就是网络控制。
01:27:56
我本可以选择杀死这个进程，但我没有这样做，因为众所周知，网络是隔离东西的好方法。
01:28:02
我正在进行网络隔离，但我的策略是身份杠杆，而不是网络级别，我根本不会遇到五次麻烦。
01:28:08
我正在做的过程不能工作的过程，这是一个完全不同的范式不存在，你从头开始建立它的每一层，我没有使用任何IP表来实现这一点，事实上我的政策在表中是无法表达的。
01:28:23
再说一次，是的，我是一个代理，但我的代理是一个控制实体安装副总裁的程序。
01:28:30
我的数据平面位于Linux内核中，它的性能效率是不希望数据包进入侧车，这是正在进行的。
01:28:36
是的，从编程的角度来看，它是一个代理控制的角度来看，但从数据的角度来看，它不是一个代理，数据路径具有令人难以置信的性能，高效，低开销等等。
01:29:06
嘿，我个人并不想让它成为一个集会宣传，它更多的是试图注入一些零信任的想法，到目前为止，我们是如何看待APP开发的。
01:29:17
一直在寻找弱点，这是一场永无止境的战斗，人们认为当我覆盖了我的基础，我就会有弹性。
01:29:23
事实是，你永远不可能覆盖你的业务你永远不可能100%不受影响，你必须提前考虑，所以这整个。
01:29:30
对于问题，如果我说，如果我要对每一个问题进行检测这是一个不好的做法，当你最脆弱的时候，你需要弹性，你需要直接的反应最脆弱的时候。
01:29:39
你所看到的法国，我正试图灌输一种思想，零信任是值得思考的事情，不要试图花时间亲吻弱点，我没有进入我的解决方案，因为这不是一个展示的对象。
01:30:11
是的，所以我是公司创造的东西，他们非常超前地思考这种方法。
01:30:17
默认情况下，亚马逊会被拒绝，除非你创建一个明确的策略，零信任是什么明确的策略默认拒绝，这就是云。
01:30:25
这就是上帝的运作方式，如果你没有规则，它就被默认屏蔽了。
01:30:30
给你我是，但写政策是最难的部分现在你必须走了，对，这是一团糟，写我是政策是一个博士学位。
01:30:37
这是非常不同的，你只要安装软件它就会学习它会告诉你这是你的政策。
01:30:43
我们接受你批准政策，没有政策可写，但人们仍然希望他们的真相来源是好的，因为这是一个。
01:30:51
开发者最喜欢的版本控制工具，所有这些东西，我们允许我们的政策下载为yama，你不需要写它会为你写。
01:30:59
下载它，把它放到get中，查看不可变策略代码，现在是零信任策略。
01:31:05
有人会问，F炸弹是如何传播的这实际上是和代码一起传播的，你会得到代码被部署，策略被精心策划。
01:31:13
它是和你的Corbett Europe一起来的有点像阿伯丁的很多方式这个政策是可以下载的，你可以把它放在里面，然后查看。
01:31:23
世界上的不同之处在于政策的制定他仍然非常复杂，当我带着电池来的时候，包括政策给你。
01:31:39
好问题，我们仍然有，我要定义你的角色你说我创建了一个服务帐户这个服务帐户允许我访问dynamo db。
01:31:49
你可以使用谷歌的服务帐户，问题是服务帐户只是一个密码，它进入github，它被窃取，现在你把访问管理问题转化为秘密管理。
01:32:00
有了早期的技术，你可以把你的im带到任何云上，我可以跨云为你联合身份，因为这些身份。
01:32:08
我独立管理你还得做什么，我不过是把你的密码放到网上，因为它们不再重要了，那我只是定义。
01:32:16
如果我的APP可以访问s3这个s3最好属于我的组织这没有什么秘密我在Amazon aws或Google中定义资源。
01:32:26
不管他们叫它什么，这就定义了我的资源有这个描述，这个组织，这个口袋。
01:32:32
对于谁可以访问他的密码列表的策略因为我不会让任何人离开即使他们有密码和入侵者。
01:32:39
让我们再举一个例子，如果我是我是你给你的vm分配了一个角色你的Lambda这是一个非常经典的Lambda基本上你给vm分配了一个角色。
01:32:49
你的APP被入侵了，在今天的盒子里，他得到了相同的房间，这是基于网络控制的问题，任何人都假设相同的IP地址。
01:33:00
它的权利，它得到了同样的特权，而不是这个技术，因为你实际上是在中和APP的身份然后在此基础上给予特权，在土地上。
01:33:11
我知道一些背景，是的，我有一个关于他的问题我们有一个答案也很抱歉Lambda，我对salesforce有一个问题salesforce说嘿。
01:33:21
我有一个朋友，他说约翰在销售团队里藏了FBI的人很安全，我不担心安全问题。
01:33:27
我说你的APP易受攻击吗，它会被利用吗，是的，我们应该被利用，有人会启动程序启动后门吗。
01:33:36
或者你发现它不知道这些云提供商有什么共同的责任他们间接地告诉你，你的应用程序最好不要易受攻击，你是你自己的责任不是我的问题销售团队不在乎，是的，他们是。
01:33:53
它们是多租户的，所以你有一个利益妥协，攻击者可以在你的Lambda中做任何他们想做的事情。
01:34:00
你做任何事情，但他们已经在那里站稳了脚跟，其他租户不受影响，销售人员不受影响，但你作为一个客户受到影响。
01:34:08
你在运行一个不受信任的环境，你如何解决这个问题，我们有一些想法，或者，如果你还没有卖掉Lambda。
01:34:14
这是一个棘手的问题，因为在分享和关怀的名义下，这是无人区。
01:34:19
那个家伙不在乎，因为它是多租户的其他趋势不会受到影响，这些会受到影响，但你会受到影响，你在别人的环境中运行代码，他们没有给你适当的控制，他们要求你分担责任，我很好。
01:34:50
谢谢你的到来，很抱歉网络问题，我们在互联网上有一些工作要做，谢谢你的到来，并允许我们主持。