現(xiàn)代科技不斷變革,產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型持續(xù)推進(jìn),軟件在在其中發(fā)揮著重要的支撐作用。而安全是一切前沿應(yīng)用領(lǐng)域能夠?qū)崿F(xiàn)創(chuàng)新升級(jí)的前提。新思科技指出,匯聚行業(yè)生態(tài)圈群力,構(gòu)建安全可信的軟件勢(shì)在必行。
新思科技中國(guó)區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛表示:“軟件安全是一個(gè)朝陽(yáng)產(chǎn)業(yè),因?yàn)楝F(xiàn)在世界基本上由軟件定義。軟件是數(shù)字化轉(zhuǎn)型的載體。當(dāng)然,軟件和安全是相伴相生的。如果安全不到位,就會(huì)帶來相應(yīng)的損失。而且,損失未必是財(cái)務(wù)上的,還有可能造成企業(yè)聲譽(yù)受損,導(dǎo)致不可估量的負(fù)面影響。如何去確保安全,構(gòu)建可信軟件?新思科技認(rèn)為可以從三個(gè)領(lǐng)域注入新力量,包括安全態(tài)勢(shì)、移動(dòng)安全以及研發(fā)人員?!?/p>
安全態(tài)勢(shì)可控
安全已經(jīng)是產(chǎn)業(yè)發(fā)展的必修課,各大企業(yè)也已經(jīng)部署應(yīng)用安全(AppSec)計(jì)劃。但成效如何?新思科技觀察到,很多企業(yè)的AppSec計(jì)劃面臨著“三低兩難”。
- 投資回報(bào)率低。工具、人員和維護(hù)成本高昂,但仍無法充分保障軟件安全;
- 軟件風(fēng)險(xiǎn)判斷的準(zhǔn)確率低。無法審核和查明最易受攻擊的軟件,從而導(dǎo)致合規(guī)性變得困難;
- 安全活動(dòng)速度低。安全活動(dòng)拖慢了產(chǎn)品交付速度,無法滿足客戶的服務(wù)水平協(xié)議(SLA)。無法保持業(yè)務(wù)連續(xù)性;
- 難以有效管理AppSec策略。很難標(biāo)準(zhǔn)化所有生產(chǎn)級(jí)代碼、內(nèi)部代碼和第三方代碼的質(zhì)量標(biāo)準(zhǔn);
- 難以優(yōu)先考慮關(guān)鍵工作。過多的誤報(bào)和冗余活動(dòng)正在降低生產(chǎn)力。
為了幫助業(yè)界應(yīng)對(duì)以上挑戰(zhàn),新思科技近期推出了全新軟件風(fēng)險(xiǎn)管理平臺(tái)(SRM)。該平臺(tái)是一種應(yīng)用安全態(tài)勢(shì)管理(ASPM)解決方案,內(nèi)置了新思科技廣受認(rèn)可的Coverity靜態(tài)應(yīng)用安全分析和Black Duck軟件組成分析,幫助用戶以“三化兩快”化解“三低兩難”。
- 管理簡(jiǎn)化。統(tǒng)一新的和現(xiàn)有安全工具的結(jié)果,與 135多商業(yè)及OSS的 DevOps 和 AppSec 工具集成;
- 風(fēng)險(xiǎn)狀態(tài)可視化。將違規(guī)情況映射到相應(yīng)發(fā)現(xiàn),直至代碼行;
- 工作流程標(biāo)準(zhǔn)化。定義和管理策略以編排測(cè)試、分類和修復(fù);
- 快速確定風(fēng)險(xiǎn)優(yōu)先級(jí)。直接向開發(fā)人員上報(bào)嚴(yán)重缺陷;
- 快速同步業(yè)界最佳應(yīng)用安全測(cè)試(AST)能力。利用SAST和SCA的內(nèi)置引擎快速展開核心測(cè)試。
Gartner 預(yù)測(cè),到2026年,超過40%的開發(fā)專有應(yīng)用的企業(yè)將采用應(yīng)用安全態(tài)勢(shì)管理(ASPM),以快速識(shí)別和解決應(yīng)用安全問題。
移動(dòng)安全可及
手機(jī)已經(jīng)不僅僅是移動(dòng)硬件設(shè)備,而是承載著更多軟件應(yīng)用,覆蓋家居、娛樂、出行、支付、會(huì)議等方方面面。移動(dòng)安全可謂牽一發(fā)而動(dòng)全身。
那么,移動(dòng)安全的難點(diǎn)在哪?既要全面,又要快速。移動(dòng)端App語(yǔ)言多樣,包括Kotlin、Java、Swift、Objective-C等等。這就要求綜合運(yùn)用全面的測(cè)試技術(shù),比如SAST、DAST或者IAST。而且,企業(yè)希望這些測(cè)試技術(shù)不僅能自動(dòng)化運(yùn)行、與CI/CD管道集成、快速發(fā)現(xiàn)問題并且指導(dǎo)開發(fā)修復(fù)問題。
新思科技深知行業(yè)痛點(diǎn),推出移動(dòng)應(yīng)用安全測(cè)試(MAST),并聯(lián)合行業(yè)伙伴力量不斷精進(jìn)。最近,新思科技與移動(dòng)安全和隱私專家NowSecure合作,為業(yè)界提供更快速、更全面的移動(dòng)應(yīng)用安全測(cè)試。得益于此,用戶可以獲得三方面的裨益:第一, APP發(fā)布越來越快;第二,能夠快速地把發(fā)現(xiàn)的風(fēng)險(xiǎn),甚至漏洞修補(bǔ)掉;第三,其客戶能夠得到可信的移動(dòng)應(yīng)用。
作為智能終端制造商和移動(dòng)互聯(lián)網(wǎng)服務(wù)提供商,OPPO意識(shí)到安全和隱私是智慧生態(tài)系統(tǒng)不可分割的一部分,并提出了“可信”的概念,這與新思科技不謀而合。
OPPO終端安全領(lǐng)域總經(jīng)理王安宇表示:“我們將消費(fèi)者、監(jiān)管機(jī)構(gòu)以及行業(yè)的訴求都映射到內(nèi)部的產(chǎn)品和研發(fā)的安全和隱私要求,同時(shí)與行業(yè)著名廠商、上下游合作伙伴等共同去規(guī)劃、實(shí)施、持續(xù)改進(jìn)安全計(jì)劃。新思科技是OPPO長(zhǎng)期的安全合作伙伴,提供軟件安全成熟度和能力提升、SCA代碼質(zhì)量分析和產(chǎn)品安全質(zhì)量驗(yàn)證等綜合產(chǎn)品和服務(wù),與我們攜手構(gòu)建閉環(huán)的軟件安全解決方案,在探索功能創(chuàng)新的同時(shí),也為消費(fèi)者交付可信的產(chǎn)品?!?/p>
安全開發(fā)可行
軟件安全歸根結(jié)底很大程度上取決于安全的開發(fā)。因此,對(duì)開發(fā)人員進(jìn)行系統(tǒng)、全面的培訓(xùn)至關(guān)重要。然而,此類培訓(xùn)通常會(huì)比較枯燥,又難以和現(xiàn)實(shí)業(yè)務(wù)場(chǎng)景掛鉤,使得開發(fā)人員興趣不大。
為此,新思科技對(duì)癥下藥,完善了開發(fā)人員安全培訓(xùn)(Developer Security Training)平臺(tái),幫助開發(fā)人員提高安全能力,同時(shí)提供簡(jiǎn)化的方法,將整個(gè)企業(yè)的安全實(shí)踐標(biāo)準(zhǔn)化。該企業(yè)
級(jí)敏捷學(xué)習(xí)平臺(tái)提供8,000多種學(xué)習(xí)活動(dòng),培訓(xùn)內(nèi)容跨越60多種編碼語(yǔ)言和開發(fā)框架,并且數(shù)量不斷增長(zhǎng)。而且,該平臺(tái)支持8種語(yǔ)言,包括簡(jiǎn)體中文。
付紅勛總結(jié)道,在這個(gè)軟件定義世界、軟件改變世界的時(shí)代,安全問題變得非常凸顯,包括漏洞、版權(quán)、運(yùn)維等各個(gè)方面的風(fēng)險(xiǎn)。每個(gè)行業(yè)面臨的軟件安全風(fēng)險(xiǎn)有共性也有特性,但總的來說,各行各業(yè)都不能獨(dú)善其身,主動(dòng)防御和聯(lián)合生態(tài)圈力量才能發(fā)揮協(xié)同效應(yīng),持續(xù)構(gòu)建和交付安全、可信的產(chǎn)品,激發(fā)產(chǎn)業(yè)創(chuàng)新活力,行穩(wěn)致遠(yuǎn)。