現代科技不斷變革，產業(yè)數字化轉型持續(xù)推進，軟件在在其中發(fā)揮著重要的支撐作用。而安全是一切前沿應用領域能夠實現創(chuàng)新升級的前提。新思科技指出，匯聚行業(yè)生態(tài)圈群力，構建安全可信的軟件勢在必行。

新思科技中國區(qū)應用安全技術總監(jiān)付紅勛表示：“軟件安全是一個朝陽產業(yè)，因為現在世界基本上由軟件定義。軟件是數字化轉型的載體。當然，軟件和安全是相伴相生的。如果安全不到位，就會帶來相應的損失。而且，損失未必是財務上的，還有可能造成企業(yè)聲譽受損，導致不可估量的負面影響。如何去確保安全，構建可信軟件?新思科技認為可以從三個領域注入新力量，包括安全態(tài)勢、移動安全以及研發(fā)人員。”

安全態(tài)勢可控

安全已經是產業(yè)發(fā)展的必修課，各大企業(yè)也已經部署應用安全(AppSec)計劃。但成效如何?新思科技觀察到，很多企業(yè)的AppSec計劃面臨著“三低兩難”。

? 投資回報率低。工具、人員和維護成本高昂，但仍無法充分保障軟件安全;

? 軟件風險判斷的準確率低。無法審核和查明最易受攻擊的軟件，從而導致合規(guī)性變得困難;

? 安全活動速度低。安全活動拖慢了產品交付速度，無法滿足客戶的服務水平協(xié)議(SLA)。無法保持業(yè)務連續(xù)性;

? 難以有效管理AppSec策略。很難標準化所有生產級代碼、內部代碼和第三方代碼的質量標準;

? 難以優(yōu)先考慮關鍵工作。過多的誤報和冗余活動正在降低生產力。

為了幫助業(yè)界應對以上挑戰(zhàn)，新思科技近期推出了全新軟件風險管理平臺(SRM)。該平臺是一種應用安全態(tài)勢管理(ASPM)解決方案，內置了新思科技廣受認可的Coverity靜態(tài)應用安全分析和Black Duck軟件組成分析，幫助用戶以“三化兩快”化解“三低兩難”。

? 管理簡化。統(tǒng)一新的和現有安全工具的結果，與 135多商業(yè)及OSS的 DevOps 和 AppSec 工具集成;

? 風險狀態(tài)可視化。將違規(guī)情況映射到相應發(fā)現，直至代碼行;

? 工作流程標準化。定義和管理策略以編排測試、分類和修復;

? 快速確定風險優(yōu)先級。直接向開發(fā)人員上報嚴重缺陷;

? 快速同步業(yè)界最佳應用安全測試(AST)能力。利用SAST和SCA的內置引擎快速展開核心測試。

Gartner 預測，到2026年，超過40%的開發(fā)專有應用的企業(yè)將采用應用安全態(tài)勢管理(ASPM)，以快速識別和解決應用安全問題。

移動安全可及

手機已經不僅僅是移動硬件設備，而是承載著更多軟件應用，覆蓋家居、娛樂、出行、支付、會議等方方面面。移動安全可謂牽一發(fā)而動全身。

那么，移動安全的難點在哪?既要全面，又要快速。移動端App語言多樣，包括Kotlin、Java、Swift、Objective-C等等。這就要求綜合運用全面的測試技術，比如SAST、DAST或者IAST。而且，企業(yè)希望這些測試技術不僅能自動化運行、與CI/CD管道集成、快速發(fā)現問題并且指導開發(fā)修復問題。

新思科技深知行業(yè)痛點，推出移動應用安全測試(MAST)，并聯(lián)合行業(yè)伙伴力量不斷精進。最近，新思科技與移動安全和隱私專家NowSecure合作，為業(yè)界提供更快速、更全面的移動應用安全測試。得益于此，用戶可以獲得三方面的裨益：第一， APP發(fā)布越來越快;第二，能夠快速地把發(fā)現的風險，甚至漏洞修補掉;第三，其客戶能夠得到可信的移動應用。

作為智能終端制造商和移動互聯(lián)網服務提供商，OPPO意識到安全和隱私是智慧生態(tài)系統(tǒng)不可分割的一部分，并提出了“可信”的概念，這與新思科技不謀而合。

OPPO終端安全領域總經理王安宇表示：“我們將消費者、監(jiān)管機構以及行業(yè)的訴求都映射到內部的產品和研發(fā)的安全和隱私要求，同時與行業(yè)著名廠商、上下游合作伙伴等共同去規(guī)劃、實施、持續(xù)改進安全計劃。新思科技是OPPO長期的安全合作伙伴，提供軟件安全成熟度和能力提升、SCA代碼質量分析和產品安全質量驗證等綜合產品和服務，與我們攜手構建閉環(huán)的軟件安全解決方案，在探索功能創(chuàng)新的同時，也為消費者交付可信的產品?！?

安全開發(fā)可行

軟件安全歸根結底很大程度上取決于安全的開發(fā)。因此，對開發(fā)人員進行系統(tǒng)、全面的培訓至關重要。然而，此類培訓通常會比較枯燥，又難以和現實業(yè)務場景掛鉤，使得開發(fā)人員興趣不大。

為此，新思科技對癥下藥，完善了開發(fā)人員安全培訓(Developer Security Training)平臺，幫助開發(fā)人員提高安全能力，同時提供簡化的方法，將整個企業(yè)的安全實踐標準化。該企業(yè)級敏捷學習平臺提供8,000多種學習活動，培訓內容跨越60多種編碼語言和開發(fā)框架，并且數量不斷增長。而且，該平臺支持8種語言，包括簡體中文。

付紅勛總結道，在這個軟件定義世界、軟件改變世界的時代，安全問題變得非常凸顯，包括漏洞、版權、運維等各個方面的風險。每個行業(yè)面臨的軟件安全風險有共性也有特性，但總的來說，各行各業(yè)都不能獨善其身，主動防御和聯(lián)合生態(tài)圈力量才能發(fā)揮協(xié)同效應，持續(xù)構建和交付安全、可信的產品，激發(fā)產業(yè)創(chuàng)新活力，行穩(wěn)致遠。