现代科技不断变革,产业数字化转型持续推进,软件在在其中发挥着重要的支撑作用。而安全是一切前沿应用领域能够实现创新升级的前提。新思科技指出,汇聚行业生态圈群力,构建安全可信的软件势在必行。
新思科技中国区应用安全技术总监付红勋表示:“软件安全是一个朝阳产业,因为现在世界基本上由软件定义。软件是数字化转型的载体。当然,软件和安全是相伴相生的。如果安全不到位,就会带来相应的损失。而且,损失未必是财务上的,还有可能造成企业声誉受损,导致不可估量的负面影响。如何去确保安全,构建可信软件?新思科技认为可以从三个领域注入新力量,包括安全态势、移动安全以及研发人员。”
安全态势可控
安全已经是产业发展的必修课,各大企业也已经部署应用安全(AppSec)计划。但成效如何?新思科技观察到,很多企业的AppSec计划面临着“三低两难”。
- 投资回报率低。工具、人员和维护成本高昂,但仍无法充分保障软件安全;
- 软件风险判断的准确率低。无法审核和查明最易受攻击的软件,从而导致合规性变得困难;
- 安全活动速度低。安全活动拖慢了产品交付速度,无法满足客户的服务水平协议(SLA)。无法保持业务连续性;
- 难以有效管理AppSec策略。很难标准化所有生产级代码、内部代码和第三方代码的质量标准;
- 难以优先考虑关键工作。过多的误报和冗余活动正在降低生产力。
为了帮助业界应对以上挑战,新思科技近期推出了全新软件风险管理平台(SRM)。该平台是一种应用安全态势管理(ASPM)解决方案,内置了新思科技广受认可的Coverity静态应用安全分析和Black Duck软件组成分析,帮助用户以“三化两快”化解“三低两难”。
- 管理简化。统一新的和现有安全工具的结果,与 135多商业及OSS的 DevOps 和 AppSec 工具集成;
- 风险状态可视化。将违规情况映射到相应发现,直至代码行;
- 工作流程标准化。定义和管理策略以编排测试、分类和修复;
- 快速确定风险优先级。直接向开发人员上报严重缺陷;
- 快速同步业界最佳应用安全测试(AST)能力。利用SAST和SCA的内置引擎快速展开核心测试。
Gartner 预测,到2026年,超过40%的开发专有应用的企业将采用应用安全态势管理(ASPM),以快速识别和解决应用安全问题。
移动安全可及
手机已经不仅仅是移动硬件设备,而是承载着更多软件应用,覆盖家居、娱乐、出行、支付、会议等方方面面。移动安全可谓牵一发而动全身。
那么,移动安全的难点在哪?既要全面,又要快速。移动端App语言多样,包括Kotlin、Java、Swift、Objective-C等等。这就要求综合运用全面的测试技术,比如SAST、DAST或者IAST。而且,企业希望这些测试技术不仅能自动化运行、与CI/CD管道集成、快速发现问题并且指导开发修复问题。
新思科技深知行业痛点,推出移动应用安全测试(MAST),并联合行业伙伴力量不断精进。最近,新思科技与移动安全和隐私专家NowSecure合作,为业界提供更快速、更全面的移动应用安全测试。得益于此,用户可以获得三方面的裨益:第一, APP发布越来越快;第二,能够快速地把发现的风险,甚至漏洞修补掉;第三,其客户能够得到可信的移动应用。
作为智能终端制造商和移动互联网服务提供商,OPPO意识到安全和隐私是智慧生态系统不可分割的一部分,并提出了“可信”的概念,这与新思科技不谋而合。
OPPO终端安全领域总经理王安宇表示:“我们将消费者、监管机构以及行业的诉求都映射到内部的产品和研发的安全和隐私要求,同时与行业著名厂商、上下游合作伙伴等共同去规划、实施、持续改进安全计划。新思科技是OPPO长期的安全合作伙伴,提供软件安全成熟度和能力提升、SCA代码质量分析和产品安全质量验证等综合产品和服务,与我们携手构建闭环的软件安全解决方案,在探索功能创新的同时,也为消费者交付可信的产品。”
安全开发可行
软件安全归根结底很大程度上取决于安全的开发。因此,对开发人员进行系统、全面的培训至关重要。然而,此类培训通常会比较枯燥,又难以和现实业务场景挂钩,使得开发人员兴趣不大。
为此,新思科技对症下药,完善了开发人员安全培训(Developer Security Training)平台,帮助开发人员提高安全能力,同时提供简化的方法,将整个企业的安全实践标准化。该企业
级敏捷学习平台提供8,000多种学习活动,培训内容跨越60多种编码语言和开发框架,并且数量不断增长。而且,该平台支持8种语言,包括简体中文。
付红勋总结道,在这个软件定义世界、软件改变世界的时代,安全问题变得非常凸显,包括漏洞、版权、运维等各个方面的风险。每个行业面临的软件安全风险有共性也有特性,但总的来说,各行各业都不能独善其身,主动防御和联合生态圈力量才能发挥协同效应,持续构建和交付安全、可信的产品,激发产业创新活力,行稳致远。