持续应用安全(CAS)白皮书（附下载）

攻防业界

1年前

◆ 报告编号：DWC_WB_2023001
◆ 主笔分析师：靳慧超•首席战略分析师
◆ 分析团队：数世智库•数字安全战略研究院
◆ 报告审核：李少鹏•首席分析师

　　持续应用安全（CAS）是基于我国软件供应链安全现状所诞生的一种解决方案，是DevSecOps理念框架在我国商业市场的落地实践，致力于解决敏捷性思想在数字时代提出的安全保障需求。主要针对软件供应链中数字化应用的开发以及运行方面的安全问题，是安全能力原子化（离散式制造、集中式交付、统一化管理、智能化应用）在软件供应链安全上的应用。

　　持续应用安全（CAS）专注于保障数字化应用的，源代码阶段-构建部署阶段-上线运行阶段，全流程的安全状态。持续应用安全（CAS）方案可以通过安全能力高度融合和安全数据关联分析的方式，经由统一调度管理形成体系化的解决方案，以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。

　　作为我国数字安全领域的第三方调研与咨询机构，数世咨询愿承担历史使命，同产业界一起，以最佳实践和创新应用引领产业发展，携手解答数字时代和业务实践提出的中国数字安全问题，为协助国家推动构建人类命运共同体贡献产业力量。

关键发现

　　● 软件供应链安全涉及面极为广泛，目前来看，我国乃至全球都没有完善的体系化解决方案以应对。

　　● 数世咨询认为，数字安全未来的核心趋势是安全能力原子化。

　　● 对于商业语境来说，数字安全的核心使命是将风险维持在可接受的程度，以达到经济收益最大化的目的。

　　● 安全工具的单点能力提升，在体系化防护思想中存在边际效益递减现象，并不能直接为行业用户带来正比例的安全收益。

参考建议

　　● 针对我国软件供应链安全现状，可以从中找到关联性较强并且具备可落地性的环节来逐一突破，蹄疾步稳分阶段实现软件供应链安全整体防护。

　　● 可以通过离散式制造、集中式交付、统一化管理、智能化应用的方式实现安全能力原子化。

　　● 安全效能的提升和方案的可落地性，可以实现体系化安全建设的收益最大化。

　　● 安全能力高度融合和安全数据关联分析，再经由统一调度管理形成体系化的解决方案，可以帮助用户减少资源投入、整合安全能力和提升安全效率。