現(xiàn)代科技不斷變革，產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型持續(xù)推進，軟件在在其中發(fā)揮著重要的支撐作用。而安全是一切前沿應(yīng)用領(lǐng)域能夠?qū)崿F(xiàn)創(chuàng)新升級的前提。新思科技指出，匯聚行業(yè)生態(tài)圈群力，構(gòu)建安全可信的軟件勢在必行。

新思科技中國區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛表示：“軟件安全是一個朝陽產(chǎn)業(yè)，因為現(xiàn)在世界基本上由軟件定義。軟件是數(shù)字化轉(zhuǎn)型的載體。當然，軟件和安全是相伴相生的。如果安全不到位，就會帶來相應(yīng)的損失。而且，損失未必是財務(wù)上的，還有可能造成企業(yè)聲譽受損，導(dǎo)致不可估量的負面影響。如何去確保安全，構(gòu)建可信軟件?新思科技認為可以從三個領(lǐng)域注入新力量，包括安全態(tài)勢、移動安全以及研發(fā)人員?！?

安全態(tài)勢可控

安全已經(jīng)是產(chǎn)業(yè)發(fā)展的必修課，各大企業(yè)也已經(jīng)部署應(yīng)用安全(AppSec)計劃。但成效如何?新思科技觀察到，很多企業(yè)的AppSec計劃面臨著“三低兩難”。

? 投資回報率低。工具、人員和維護成本高昂，但仍無法充分保障軟件安全;

? 軟件風(fēng)險判斷的準確率低。無法審核和查明最易受攻擊的軟件，從而導(dǎo)致合規(guī)性變得困難;

? 安全活動速度低。安全活動拖慢了產(chǎn)品交付速度，無法滿足客戶的服務(wù)水平協(xié)議(SLA)。無法保持業(yè)務(wù)連續(xù)性;

? 難以有效管理AppSec策略。很難標準化所有生產(chǎn)級代碼、內(nèi)部代碼和第三方代碼的質(zhì)量標準;

? 難以優(yōu)先考慮關(guān)鍵工作。過多的誤報和冗余活動正在降低生產(chǎn)力。

為了幫助業(yè)界應(yīng)對以上挑戰(zhàn)，新思科技近期推出了全新軟件風(fēng)險管理平臺(SRM)。該平臺是一種應(yīng)用安全態(tài)勢管理(ASPM)解決方案，內(nèi)置了新思科技廣受認可的Coverity靜態(tài)應(yīng)用安全分析和Black Duck軟件組成分析，幫助用戶以“三化兩快”化解“三低兩難”。

? 管理簡化。統(tǒng)一新的和現(xiàn)有安全工具的結(jié)果，與 135多商業(yè)及OSS的 DevOps 和 AppSec 工具集成;

? 風(fēng)險狀態(tài)可視化。將違規(guī)情況映射到相應(yīng)發(fā)現(xiàn)，直至代碼行;

? 工作流程標準化。定義和管理策略以編排測試、分類和修復(fù);

? 快速確定風(fēng)險優(yōu)先級。直接向開發(fā)人員上報嚴重缺陷;

? 快速同步業(yè)界最佳應(yīng)用安全測試(AST)能力。利用SAST和SCA的內(nèi)置引擎快速展開核心測試。

Gartner 預(yù)測，到2026年，超過40%的開發(fā)專有應(yīng)用的企業(yè)將采用應(yīng)用安全態(tài)勢管理(ASPM)，以快速識別和解決應(yīng)用安全問題。

移動安全可及

手機已經(jīng)不僅僅是移動硬件設(shè)備，而是承載著更多軟件應(yīng)用，覆蓋家居、娛樂、出行、支付、會議等方方面面。移動安全可謂牽一發(fā)而動全身。

那么，移動安全的難點在哪?既要全面，又要快速。移動端App語言多樣，包括Kotlin、Java、Swift、Objective-C等等。這就要求綜合運用全面的測試技術(shù)，比如SAST、DAST或者IAST。而且，企業(yè)希望這些測試技術(shù)不僅能自動化運行、與CI/CD管道集成、快速發(fā)現(xiàn)問題并且指導(dǎo)開發(fā)修復(fù)問題。

新思科技深知行業(yè)痛點，推出移動應(yīng)用安全測試(MAST)，并聯(lián)合行業(yè)伙伴力量不斷精進。最近，新思科技與移動安全和隱私專家NowSecure合作，為業(yè)界提供更快速、更全面的移動應(yīng)用安全測試。得益于此，用戶可以獲得三方面的裨益：第一， APP發(fā)布越來越快;第二，能夠快速地把發(fā)現(xiàn)的風(fēng)險，甚至漏洞修補掉;第三，其客戶能夠得到可信的移動應(yīng)用。

作為智能終端制造商和移動互聯(lián)網(wǎng)服務(wù)提供商，OPPO意識到安全和隱私是智慧生態(tài)系統(tǒng)不可分割的一部分，并提出了“可信”的概念，這與新思科技不謀而合。

OPPO終端安全領(lǐng)域總經(jīng)理王安宇表示：“我們將消費者、監(jiān)管機構(gòu)以及行業(yè)的訴求都映射到內(nèi)部的產(chǎn)品和研發(fā)的安全和隱私要求，同時與行業(yè)著名廠商、上下游合作伙伴等共同去規(guī)劃、實施、持續(xù)改進安全計劃。新思科技是OPPO長期的安全合作伙伴，提供軟件安全成熟度和能力提升、SCA代碼質(zhì)量分析和產(chǎn)品安全質(zhì)量驗證等綜合產(chǎn)品和服務(wù)，與我們攜手構(gòu)建閉環(huán)的軟件安全解決方案，在探索功能創(chuàng)新的同時，也為消費者交付可信的產(chǎn)品?！?

安全開發(fā)可行

軟件安全歸根結(jié)底很大程度上取決于安全的開發(fā)。因此，對開發(fā)人員進行系統(tǒng)、全面的培訓(xùn)至關(guān)重要。然而，此類培訓(xùn)通常會比較枯燥，又難以和現(xiàn)實業(yè)務(wù)場景掛鉤，使得開發(fā)人員興趣不大。

為此，新思科技對癥下藥，完善了開發(fā)人員安全培訓(xùn)(Developer Security Training)平臺，幫助開發(fā)人員提高安全能力，同時提供簡化的方法，將整個企業(yè)的安全實踐標準化。該企業(yè)級敏捷學(xué)習(xí)平臺提供8,000多種學(xué)習(xí)活動，培訓(xùn)內(nèi)容跨越60多種編碼語言和開發(fā)框架，并且數(shù)量不斷增長。而且，該平臺支持8種語言，包括簡體中文。

付紅勛總結(jié)道，在這個軟件定義世界、軟件改變世界的時代，安全問題變得非常凸顯，包括漏洞、版權(quán)、運維等各個方面的風(fēng)險。每個行業(yè)面臨的軟件安全風(fēng)險有共性也有特性，但總的來說，各行各業(yè)都不能獨善其身，主動防御和聯(lián)合生態(tài)圈力量才能發(fā)揮協(xié)同效應(yīng)，持續(xù)構(gòu)建和交付安全、可信的產(chǎn)品，激發(fā)產(chǎn)業(yè)創(chuàng)新活力，行穩(wěn)致遠。