“應(yīng)用安全是一個非常朝陽的產(chǎn)業(yè),AIGC時代對新思科技來說意味著機會�。”新思科技中國區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛在近日于上海舉行的新思科技開發(fā)者大會上接受C114采訪時談到�。
從最新推出的新型應(yīng)用安全態(tài)勢管理(ASPM)解決方案軟件風險管理平臺(SRM)�,到移動應(yīng)用安全測試(MAST)工具和服務(wù)��,再到針對安全開發(fā)者的開發(fā)人員安全培訓(Developer Security Training)企業(yè)級敏捷學習平臺�����,新思科技安全的解決方案產(chǎn)品組合正變得愈發(fā)豐富�,從而在支撐行業(yè)構(gòu)建安全可信軟件上貢獻越來越大的力量���。
Gartner報告指出:“應(yīng)用安全態(tài)勢管理分析軟件開發(fā)�����、部署和操作過程中的安全信號���,以提高可見性、更高效地管理漏洞并實施控制�����。安全管理者可以使用ASPM來提升應(yīng)用安全效率并更好地管理風險�����。”據(jù)其預測���,到2026年��,超過40%的開發(fā)專有應(yīng)用的企業(yè)將采用ASPM��,以快速識別和解決應(yīng)用安全問題����。
付紅勛在采訪中談到,新思科技SRM基于其Code Dx 和Intelligent Orchestration智能編排產(chǎn)品的核心技術(shù)構(gòu)建�,經(jīng)過重新設(shè)計和增強,可提供全面的ASPM解決方案�����。通過SRM平臺��,可以實現(xiàn)AppSec計劃的“三化”和“兩快”���,即管理簡化���、風險狀態(tài)可視化、工作流程標準化和快速確定風險優(yōu)先級���、快速同步業(yè)界最佳應(yīng)用安全測試(AST)能力�。
“現(xiàn)在已經(jīng)是移動的世界了,安全和隱私問題如影隨形�����。”他表示���,針對此���,新思科技推出了移動應(yīng)用安全測試(MAST)工具和服務(wù)���,可以通過對Android和iOS二進制文件進行快速����、自動化和語言化的靜態(tài)��、動態(tài)���、交互式和API安全測試�,提供廣泛的測試覆蓋�。MAST允許開發(fā)和安全團隊分析移動應(yīng)用的組件,包括開源組件��、第三方SDK以及可傳遞依賴項,并可將基于標準的自動化安全測試集成到CI/CD�����。
值得一提的是���,作為OPPO終端可信工程的行業(yè)伙伴�,新思科技為OPPO提供了應(yīng)用安全管理產(chǎn)品和服務(wù)���,包括軟件安全構(gòu)建成熟度模型(BSIMM)評估����,助力OPPO落實數(shù)字化可信工程���。新思科技已經(jīng)連續(xù)三年榮膺OPPO合作伙伴類大獎����。
OPPO終端安全領(lǐng)域總經(jīng)理王安宇在接受采訪時表示���,OPPO長期以來非常注重包括軟件在內(nèi)的整體安全體系構(gòu)建�。“我們提出了‘可信’概念�����,并構(gòu)建了4層數(shù)字化的可信框架。從基礎(chǔ)層到能力層��,到業(yè)務(wù)��、APP�����、數(shù)據(jù)����、整機����、芯片,然后在最上層目標是隱私�、合規(guī)、透明��,希望構(gòu)筑一種‘數(shù)字化的可信’�����。”他談到,從軟件的需求���、到設(shè)計�、實施�����、測試�、發(fā)布的各個環(huán)節(jié),OPPO都會引入業(yè)界的最佳實踐���、工具和能力�,然后去構(gòu)筑OPPO的研發(fā)安全生命周期的流程和能力����。
在最佳實踐方面,OPPO采用了新思科技的BSIMM評估�����,基于這一國際上權(quán)威的組織安全成熟度評估體系雷達圖識別企業(yè)自身在軟件安全能力上可改進之處�����,然后再基于改進產(chǎn)生的價值定義優(yōu)先級,更好地去建設(shè)整個企業(yè)的安全合規(guī)的體系�。
“新思科技在我們整個閉環(huán)的軟件安全解決方案里,給了OPPO很多支持�。包括SCA(軟件組成分析)和Pen Test(滲透測試)等,同時還有SAST(靜態(tài)應(yīng)用安全分析)等其它的工具和最佳實踐��,共同落到我們整個的流程和體系里面�,然后形成一個閉環(huán)的、可改進的軟件安全的解決方案�。這是OPPO和新思科技在軟件安全方面的一些探索。”王安宇說到�����。
面對以AIGC為代表的新一輪人工智能浪潮����,付紅勛認為這對新思科技意味著更大的機會����。他指出,“新思科技更擅長于做的是檢測深層次的代碼里的安全隱患或者特殊的質(zhì)量隱患��。我們不是做一個簡單的代碼嗅探�����,我認為在AIGC的年代反而是新思科技的機會。另外���,我們有一些能夠幫助客戶發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞的工具和服務(wù)��,比如我們的DAST(動態(tài)應(yīng)用安全測試)服務(wù)和Seeker�����。今后是AIGC生成代碼的時代���,有一些安全隱患普通的工具很難觸及到,而這正是我們這些產(chǎn)品的優(yōu)勢����。”
此外,他表示AIGC時代的另一個機會在于�,“開源代碼片段會不斷地加到AIGC生成的代碼里。因為我們給大模型的這些訓練輸入���,它會變成一點一點的片段���,可能沒有完整地引用某一大段代碼����,但可能會運用某個組件的某幾行���,這些片段的檢測將會變得非常麻煩�����。這也正好是新思科技Black Duck非常著名的一個特性��,那就是代碼片段掃描�����。”
據(jù)介紹�,Black Duck是一款軟件組成分析工具��,可提供對第三方開源代碼的可見性����,從而能夠在整個軟件開發(fā)周期中管理軟件供應(yīng)鏈�。當檢測到安全風險時,Black Duck Security Advisories (BDSA) 會借助新思科技的KnowledgeBase(目前業(yè)界最全的開源項目、許可證和安全信息數(shù)據(jù)庫)�����,提供必要的信息����,幫助企業(yè)掌握漏洞信息、確定優(yōu)先級別和進行修復��。
正如新思科技在一篇新聞稿中寫到的����,企業(yè)現(xiàn)在越來越意識到軟件風險等同于業(yè)務(wù)風險,可擴展的應(yīng)用安全計劃對于高效管理軟件風險至關(guān)重要���。隨著安全威脅形勢加劇�����,企業(yè)更加需要簡化測試�、分類和風險管理���,以滿足業(yè)務(wù)需要的速度管理軟件安全���。
鄂公網(wǎng)安備 42112402000149號