现在,人们生活和工作的世界与互联网甚至物联网空间融合得越来越紧密,安全既是防线又是底线。新思科技指出,为了让安全成为数字时代的基本供给,相关行业需要群策群力,为软件安全产业源源不断地注入新力量。
新思科技中国区应用安全技术总监付红勋表示:“软件安全是一个朝阳产业,因为现在世界基本上由软件定义。软件是数字化转型的载体。当然,软件和安全是相伴相生的。如果安全不到位,就会带来相应的损失。而且,损失未必是财务上的,还有可能造成企业声誉受损,导致不可估量的负面影响。如何去确保安全,构建可信软件?新思科技认为可以从三个领域注入新力量,包括安全态势、移动安全以及研发人员。”
安全态势可控
安全已经是产业发展的必修课,各大企业也已经部署应用安全(AppSec)计划。但成效如何?新思科技观察到,很多企业的AppSec计划面临着“三低两难”。
为了帮助业界应对以上挑战,新思科技近期推出了全新软件风险管理平台(SRM)。该平台是一种应用安全态势管理(ASPM)解决方案,内置了新思科技广受认可的Coverity静态应用安全分析和Black Duck软件组成分析,帮助用户以“三化两快”化解“三低两难”。
Gartner 预测,到2026年,超过40%的开发专有应用的企业将采用应用安全态势管理(ASPM),以快速识别和解决应用安全问题。
移动安全可及
手机已经不仅仅是移动硬件设备,而是承载着更多软件应用,覆盖家居、娱乐、出行、支付、会议等方方面面。移动安全可谓牵一发而动全身。
那么,移动安全的难点在哪?既要全面,又要快速。移动端App语言多样,包括Kotlin、Java、Swift、Objective-C等等。这就要求综合运用全面的测试技术,比如SAST、DAST或者IAST。而且,企业希望这些测试技术不仅能自动化运行、与CI/CD管道集成、快速发现问题并且指导开发修复问题。
新思科技深知行业痛点,推出移动应用安全测试(MAST),并联合行业伙伴力量不断精进。最近,新思科技与移动安全和隐私专家NowSecure合作,为业界提供更快速、更全面的移动应用安全测试。得益于此,用户可以获得三方面的裨益:第一, APP发布越来越快;第二,能够快速地把发现的风险,甚至漏洞修补掉;第三,其客户能够得到可信的移动应用。
作为智能终端制造商和移动互联网服务提供商,OPPO意识到安全和隐私是智慧生态系统不可分割的一部分,并提出了“可信”的概念,这与新思科技不谋而合。
OPPO终端安全领域总经理王安宇表示:“我们将消费者、监管机构以及行业的诉求都映射到内部的产品和研发的安全和隐私要求,同时与行业著名厂商、上下游合作伙伴等共同去规划、实施、持续改进安全计划。新思科技是OPPO长期的安全合作伙伴,提供软件安全成熟度和能力提升、SCA代码质量分析和产品安全质量验证等综合产品和服务,与我们携手构建闭环的软件安全解决方案,在探索功能创新的同时,也为消费者交付可信的产品。”
安全开发可行
软件安全归根结底很大程度上取决于安全的开发。因此,对开发人员进行系统、全面的培训至关重要。然而,此类培训通常会比较枯燥,又难以和现实业务场景挂钩,使得开发人员兴趣不大。
为此,新思科技对症下药,完善了开发人员安全培训(Developer Security Training)平台,帮助开发人员提高安全能力,同时提供简化的方法,将整个企业的安全实践标准化。该企业级敏捷学习平台提供8,000多种学习活动,培训内容跨越60多种编码语言和开发框架,并且数量不断增长。而且,该平台支持8种语言,包括简体中文。
付红勋总结道,在这个软件定义世界、软件改变世界的时代,安全问题变得非常凸显,包括漏洞、版权、运维等各个方面的风险。每个行业面临的软件安全风险有共性也有特性,但总的来说,各行各业都不能独善其身,主动防御和联合生态圈力量才能发挥协同效应,持续构建和交付安全、可信的产品,激发产业创新活力,行稳致远。