新思科技:構(gòu)建可信軟件的新力量
現(xiàn)代科技不斷變革,產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型持續(xù)推進(jìn),軟件在在其中發(fā)揮著重要的支撐作用。而安全是一切前沿應(yīng)用領(lǐng)域能夠?qū)崿F(xiàn)創(chuàng)新升級的前提。新思科技指出,匯聚行業(yè)生態(tài)圈群力,構(gòu)建安全可信的軟件勢在必行。
新思科技中國區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛表示:“軟件安全是一個(gè)朝陽產(chǎn)業(yè),因?yàn)楝F(xiàn)在世界基本上由軟件定義。軟件是數(shù)字化轉(zhuǎn)型的載體。當(dāng)然,軟件和安全是相伴相生的。如果安全不到位,就會帶來相應(yīng)的損失。而且,損失未必是財(cái)務(wù)上的,還有可能造成企業(yè)聲譽(yù)受損,導(dǎo)致不可估量的負(fù)面影響。如何去確保安全,構(gòu)建可信軟件?新思科技認(rèn)為可以從三個(gè)領(lǐng)域注入新力量,包括安全態(tài)勢、移動安全以及研發(fā)人員。”
安全態(tài)勢可控
安全已經(jīng)是產(chǎn)業(yè)發(fā)展的必修課,各大企業(yè)也已經(jīng)部署應(yīng)用安全(AppSec)計(jì)劃。但成效如何?新思科技觀察到,很多企業(yè)的AppSec計(jì)劃面臨著“三低兩難”。
? 投資回報(bào)率低。工具、人員和維護(hù)成本高昂,但仍無法充分保障軟件安全;
? 軟件風(fēng)險(xiǎn)判斷的準(zhǔn)確率低。無法審核和查明最易受攻擊的軟件,從而導(dǎo)致合規(guī)性變得困難;
? 安全活動速度低。安全活動拖慢了產(chǎn)品交付速度,無法滿足客戶的服務(wù)水平協(xié)議(SLA)。無法保持業(yè)務(wù)連續(xù)性;
? 難以有效管理AppSec策略。很難標(biāo)準(zhǔn)化所有生產(chǎn)級代碼、內(nèi)部代碼和第三方代碼的質(zhì)量標(biāo)準(zhǔn);
? 難以優(yōu)先考慮關(guān)鍵工作。過多的誤報(bào)和冗余活動正在降低生產(chǎn)力。
為了幫助業(yè)界應(yīng)對以上挑戰(zhàn),新思科技近期推出了全新軟件風(fēng)險(xiǎn)管理平臺(SRM)。該平臺是一種應(yīng)用安全態(tài)勢管理(ASPM)解決方案,內(nèi)置了新思科技廣受認(rèn)可的Coverity靜態(tài)應(yīng)用安全分析和Black Duck軟件組成分析,幫助用戶以“三化兩快”化解“三低兩難”。
? 管理簡化。統(tǒng)一新的和現(xiàn)有安全工具的結(jié)果,與 135多商業(yè)及OSS的 DevOps 和 AppSec 工具集成;
? 風(fēng)險(xiǎn)狀態(tài)可視化。將違規(guī)情況映射到相應(yīng)發(fā)現(xiàn),直至代碼行;
? 工作流程標(biāo)準(zhǔn)化。定義和管理策略以編排測試、分類和修復(fù);
? 快速確定風(fēng)險(xiǎn)優(yōu)先級。直接向開發(fā)人員上報(bào)嚴(yán)重缺陷;
? 快速同步業(yè)界最佳應(yīng)用安全測試(AST)能力。利用SAST和SCA的內(nèi)置引擎快速展開核心測試。
Gartner 預(yù)測,到2026年,超過40%的開發(fā)專有應(yīng)用的企業(yè)將采用應(yīng)用安全態(tài)勢管理(ASPM),以快速識別和解決應(yīng)用安全問題。
移動安全可及
手機(jī)已經(jīng)不僅僅是移動硬件設(shè)備,而是承載著更多軟件應(yīng)用,覆蓋家居、娛樂、出行、支付、會議等方方面面。移動安全可謂牽一發(fā)而動全身。
那么,移動安全的難點(diǎn)在哪?既要全面,又要快速。移動端App語言多樣,包括Kotlin、Java、Swift、Objective-C等等。這就要求綜合運(yùn)用全面的測試技術(shù),比如SAST、DAST或者IAST。而且,企業(yè)希望這些測試技術(shù)不僅能自動化運(yùn)行、與CI/CD管道集成、快速發(fā)現(xiàn)問題并且指導(dǎo)開發(fā)修復(fù)問題。
新思科技深知行業(yè)痛點(diǎn),推出移動應(yīng)用安全測試(MAST),并聯(lián)合行業(yè)伙伴力量不斷精進(jìn)。最近,新思科技與移動安全和隱私專家NowSecure合作,為業(yè)界提供更快速、更全面的移動應(yīng)用安全測試。得益于此,用戶可以獲得三方面的裨益:第一, APP發(fā)布越來越快;第二,能夠快速地把發(fā)現(xiàn)的風(fēng)險(xiǎn),甚至漏洞修補(bǔ)掉;第三,其客戶能夠得到可信的移動應(yīng)用。
作為智能終端制造商和移動互聯(lián)網(wǎng)服務(wù)提供商,OPPO意識到安全和隱私是智慧生態(tài)系統(tǒng)不可分割的一部分,并提出了“可信”的概念,這與新思科技不謀而合。
OPPO終端安全領(lǐng)域總經(jīng)理王安宇表示:“我們將消費(fèi)者、監(jiān)管機(jī)構(gòu)以及行業(yè)的訴求都映射到內(nèi)部的產(chǎn)品和研發(fā)的安全和隱私要求,同時(shí)與行業(yè)著名廠商、上下游合作伙伴等共同去規(guī)劃、實(shí)施、持續(xù)改進(jìn)安全計(jì)劃。新思科技是OPPO長期的安全合作伙伴,提供軟件安全成熟度和能力提升、SCA代碼質(zhì)量分析和產(chǎn)品安全質(zhì)量驗(yàn)證等綜合產(chǎn)品和服務(wù),與我們攜手構(gòu)建閉環(huán)的軟件安全解決方案,在探索功能創(chuàng)新的同時(shí),也為消費(fèi)者交付可信的產(chǎn)品?!?
安全開發(fā)可行
軟件安全歸根結(jié)底很大程度上取決于安全的開發(fā)。因此,對開發(fā)人員進(jìn)行系統(tǒng)、全面的培訓(xùn)至關(guān)重要。然而,此類培訓(xùn)通常會比較枯燥,又難以和現(xiàn)實(shí)業(yè)務(wù)場景掛鉤,使得開發(fā)人員興趣不大。
為此,新思科技對癥下藥,完善了開發(fā)人員安全培訓(xùn)(Developer Security Training)平臺,幫助開發(fā)人員提高安全能力,同時(shí)提供簡化的方法,將整個(gè)企業(yè)的安全實(shí)踐標(biāo)準(zhǔn)化。該企業(yè)級敏捷學(xué)習(xí)平臺提供8,000多種學(xué)習(xí)活動,培訓(xùn)內(nèi)容跨越60多種編碼語言和開發(fā)框架,并且數(shù)量不斷增長。而且,該平臺支持8種語言,包括簡體中文。
付紅勛總結(jié)道,在這個(gè)軟件定義世界、軟件改變世界的時(shí)代,安全問題變得非常凸顯,包括漏洞、版權(quán)、運(yùn)維等各個(gè)方面的風(fēng)險(xiǎn)。每個(gè)行業(yè)面臨的軟件安全風(fēng)險(xiǎn)有共性也有特性,但總的來說,各行各業(yè)都不能獨(dú)善其身,主動防御和聯(lián)合生態(tài)圈力量才能發(fā)揮協(xié)同效應(yīng),持續(xù)構(gòu)建和交付安全、可信的產(chǎn)品,激發(fā)產(chǎn)業(yè)創(chuàng)新活力,行穩(wěn)致遠(yuǎn)。