新思科技：構(gòu)建可信軟件的新力量

現(xiàn)代科技不斷變革，產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型持續(xù)推進(jìn)，軟件在在其中發(fā)揮著重要的支撐作用。而安全是一切前沿應(yīng)用領(lǐng)域能夠?qū)崿F(xiàn)創(chuàng)新升級(jí)的前提。新思科技指出，匯聚行業(yè)生態(tài)圈群力，構(gòu)建安全可信的軟件勢在必行。

新思科技中國區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛表示：“軟件安全是一個(gè)朝陽產(chǎn)業(yè)，因?yàn)楝F(xiàn)在世界基本上由軟件定義。軟件是數(shù)字化轉(zhuǎn)型的載體。當(dāng)然，軟件和安全是相伴相生的。如果安全不到位，就會(huì)帶來相應(yīng)的損失。而且，損失未必是財(cái)務(wù)上的，還有可能造成企業(yè)聲譽(yù)受損，導(dǎo)致不可估量的負(fù)面影響。如何去確保安全，構(gòu)建可信軟件?新思科技認(rèn)為可以從三個(gè)領(lǐng)域注入新力量，包括安全態(tài)勢、移動(dòng)安全以及研發(fā)人員?！?

安全態(tài)勢可控

安全已經(jīng)是產(chǎn)業(yè)發(fā)展的必修課，各大企業(yè)也已經(jīng)部署應(yīng)用安全(AppSec)計(jì)劃。但成效如何?新思科技觀察到，很多企業(yè)的AppSec計(jì)劃面臨著“三低兩難”。

? 投資回報(bào)率低。工具、人員和維護(hù)成本高昂，但仍無法充分保障軟件安全;

? 軟件風(fēng)險(xiǎn)判斷的準(zhǔn)確率低。無法審核和查明最易受攻擊的軟件，從而導(dǎo)致合規(guī)性變得困難;

? 安全活動(dòng)速度低。安全活動(dòng)拖慢了產(chǎn)品交付速度，無法滿足客戶的服務(wù)水平協(xié)議(SLA)。無法保持業(yè)務(wù)連續(xù)性;

? 難以有效管理AppSec策略。很難標(biāo)準(zhǔn)化所有生產(chǎn)級(jí)代碼、內(nèi)部代碼和第三方代碼的質(zhì)量標(biāo)準(zhǔn);

? 難以優(yōu)先考慮關(guān)鍵工作。過多的誤報(bào)和冗余活動(dòng)正在降低生產(chǎn)力。

為了幫助業(yè)界應(yīng)對(duì)以上挑戰(zhàn)，新思科技近期推出了全新軟件風(fēng)險(xiǎn)管理平臺(tái)(SRM)。該平臺(tái)是一種應(yīng)用安全態(tài)勢管理(ASPM)解決方案，內(nèi)置了新思科技廣受認(rèn)可的Coverity靜態(tài)應(yīng)用安全分析和Black Duck軟件組成分析，幫助用戶以“三化兩快”化解“三低兩難”。

? 管理簡化。統(tǒng)一新的和現(xiàn)有安全工具的結(jié)果，與 135多商業(yè)及OSS的 DevOps 和 AppSec 工具集成;

? 風(fēng)險(xiǎn)狀態(tài)可視化。將違規(guī)情況映射到相應(yīng)發(fā)現(xiàn)，直至代碼行;

? 工作流程標(biāo)準(zhǔn)化。定義和管理策略以編排測試、分類和修復(fù);

? 快速確定風(fēng)險(xiǎn)優(yōu)先級(jí)。直接向開發(fā)人員上報(bào)嚴(yán)重缺陷;

? 快速同步業(yè)界最佳應(yīng)用安全測試(AST)能力。利用SAST和SCA的內(nèi)置引擎快速展開核心測試。

Gartner 預(yù)測，到2026年，超過40%的開發(fā)專有應(yīng)用的企業(yè)將采用應(yīng)用安全態(tài)勢管理(ASPM)，以快速識(shí)別和解決應(yīng)用安全問題。

移動(dòng)安全可及

手機(jī)已經(jīng)不僅僅是移動(dòng)硬件設(shè)備，而是承載著更多軟件應(yīng)用，覆蓋家居、娛樂、出行、支付、會(huì)議等方方面面。移動(dòng)安全可謂牽一發(fā)而動(dòng)全身。

那么，移動(dòng)安全的難點(diǎn)在哪?既要全面，又要快速。移動(dòng)端App語言多樣，包括Kotlin、Java、Swift、Objective-C等等。這就要求綜合運(yùn)用全面的測試技術(shù)，比如SAST、DAST或者IAST。而且，企業(yè)希望這些測試技術(shù)不僅能自動(dòng)化運(yùn)行、與CI/CD管道集成、快速發(fā)現(xiàn)問題并且指導(dǎo)開發(fā)修復(fù)問題。

新思科技深知行業(yè)痛點(diǎn)，推出移動(dòng)應(yīng)用安全測試(MAST)，并聯(lián)合行業(yè)伙伴力量不斷精進(jìn)。最近，新思科技與移動(dòng)安全和隱私專家NowSecure合作，為業(yè)界提供更快速、更全面的移動(dòng)應(yīng)用安全測試。得益于此，用戶可以獲得三方面的裨益：第一， APP發(fā)布越來越快;第二，能夠快速地把發(fā)現(xiàn)的風(fēng)險(xiǎn)，甚至漏洞修補(bǔ)掉;第三，其客戶能夠得到可信的移動(dòng)應(yīng)用。

作為智能終端制造商和移動(dòng)互聯(lián)網(wǎng)服務(wù)提供商，OPPO意識(shí)到安全和隱私是智慧生態(tài)系統(tǒng)不可分割的一部分，并提出了“可信”的概念，這與新思科技不謀而合。

OPPO終端安全領(lǐng)域總經(jīng)理王安宇表示：“我們將消費(fèi)者、監(jiān)管機(jī)構(gòu)以及行業(yè)的訴求都映射到內(nèi)部的產(chǎn)品和研發(fā)的安全和隱私要求，同時(shí)與行業(yè)著名廠商、上下游合作伙伴等共同去規(guī)劃、實(shí)施、持續(xù)改進(jìn)安全計(jì)劃。新思科技是OPPO長期的安全合作伙伴，提供軟件安全成熟度和能力提升、SCA代碼質(zhì)量分析和產(chǎn)品安全質(zhì)量驗(yàn)證等綜合產(chǎn)品和服務(wù)，與我們攜手構(gòu)建閉環(huán)的軟件安全解決方案，在探索功能創(chuàng)新的同時(shí)，也為消費(fèi)者交付可信的產(chǎn)品?！?

安全開發(fā)可行

軟件安全歸根結(jié)底很大程度上取決于安全的開發(fā)。因此，對(duì)開發(fā)人員進(jìn)行系統(tǒng)、全面的培訓(xùn)至關(guān)重要。然而，此類培訓(xùn)通常會(huì)比較枯燥，又難以和現(xiàn)實(shí)業(yè)務(wù)場景掛鉤，使得開發(fā)人員興趣不大。

為此，新思科技對(duì)癥下藥，完善了開發(fā)人員安全培訓(xùn)(Developer Security Training)平臺(tái)，幫助開發(fā)人員提高安全能力，同時(shí)提供簡化的方法，將整個(gè)企業(yè)的安全實(shí)踐標(biāo)準(zhǔn)化。該企業(yè)級(jí)敏捷學(xué)習(xí)平臺(tái)提供8,000多種學(xué)習(xí)活動(dòng)，培訓(xùn)內(nèi)容跨越60多種編碼語言和開發(fā)框架，并且數(shù)量不斷增長。而且，該平臺(tái)支持8種語言，包括簡體中文。

付紅勛總結(jié)道，在這個(gè)軟件定義世界、軟件改變世界的時(shí)代，安全問題變得非常凸顯，包括漏洞、版權(quán)、運(yùn)維等各個(gè)方面的風(fēng)險(xiǎn)。每個(gè)行業(yè)面臨的軟件安全風(fēng)險(xiǎn)有共性也有特性，但總的來說，各行各業(yè)都不能獨(dú)善其身，主動(dòng)防御和聯(lián)合生態(tài)圈力量才能發(fā)揮協(xié)同效應(yīng)，持續(xù)構(gòu)建和交付安全、可信的產(chǎn)品，激發(fā)產(chǎn)業(yè)創(chuàng)新活力，行穩(wěn)致遠(yuǎn)。