“應用安全是一個非常朝陽的產業,AIGC時代對新思科技來說意味著機會�����。”新思科技中國區應用安全技術總監付紅勛在近日于上海舉行的新思科技開發者大會上接受C114采訪時談到���。
從最新推出的新型應用安全態勢管理(ASPM)解決方案軟件風險管理平臺(SRM),到移動應用安全測試(MAST)工具和服務�,再到針對安全開發者的開發人員安全培訓(Developer Security Training)企業級敏捷學習平臺,新思科技安全的解決方案產品組合正變得愈發豐富��,從而在支撐行業構建安全可信軟件上貢獻越來越大的力量�����。
Gartner報告指出:“應用安全態勢管理分析軟件開發�、部署和操作過程中的安全信號,以提高可見性���、更高效地管理漏洞并實施控制��。安全管理者可以使用ASPM來提升應用安全效率并更好地管理風險��。”據其預測���,到2026年�����,超過40%的開發專有應用的企業將采用ASPM���,以快速識別和解決應用安全問題。
付紅勛在采訪中談到�,新思科技SRM基于其Code Dx 和Intelligent Orchestration智能編排產品的核心技術構建,經過重新設計和增強�����,可提供全面的ASPM解決方案�。通過SRM平臺,可以實現AppSec計劃的“三化”和“兩快”��,即管理簡化����、風險狀態可視化�、工作流程標準化和快速確定風險優先級����、快速同步業界最佳應用安全測試(AST)能力。
“現在已經是移動的世界了��,安全和隱私問題如影隨形����。”他表示��,針對此����,新思科技推出了移動應用安全測試(MAST)工具和服務,可以通過對Android和iOS二進制文件進行快速����、自動化和語言化的靜態、動態�����、交互式和API安全測試�����,提供廣泛的測試覆蓋。MAST允許開發和安全團隊分析移動應用的組件�����,包括開源組件�����、第三方SDK以及可傳遞依賴項��,并可將基于標準的自動化安全測試集成到CI/CD�����。
值得一提的是����,作為OPPO終端可信工程的行業伙伴,新思科技為OPPO提供了應用安全管理產品和服務�����,包括軟件安全構建成熟度模型(BSIMM)評估���,助力OPPO落實數字化可信工程�����。新思科技已經連續三年榮膺OPPO合作伙伴類大獎��。
OPPO終端安全領域總經理王安宇在接受采訪時表示��,OPPO長期以來非常注重包括軟件在內的整體安全體系構建��。“我們提出了‘可信’概念�����,并構建了4層數字化的可信框架����。從基礎層到能力層��,到業務��、APP�、數據、整機�、芯片��,然后在最上層目標是隱私�����、合規�、透明�����,希望構筑一種‘數字化的可信’���。”他談到�,從軟件的需求�、到設計、實施���、測試��、發布的各個環節��,OPPO都會引入業界的最佳實踐�����、工具和能力�����,然后去構筑OPPO的研發安全生命周期的流程和能力���。
在最佳實踐方面���,OPPO采用了新思科技的BSIMM評估,基于這一國際上權威的組織安全成熟度評估體系雷達圖識別企業自身在軟件安全能力上可改進之處��,然后再基于改進產生的價值定義優先級�,更好地去建設整個企業的安全合規的體系。
“新思科技在我們整個閉環的軟件安全解決方案里����,給了OPPO很多支持�。包括SCA(軟件組成分析)和Pen Test(滲透測試)等,同時還有SAST(靜態應用安全分析)等其它的工具和最佳實踐��,共同落到我們整個的流程和體系里面���,然后形成一個閉環的��、可改進的軟件安全的解決方案�。這是OPPO和新思科技在軟件安全方面的一些探索。”王安宇說到��。
面對以AIGC為代表的新一輪人工智能浪潮���,付紅勛認為這對新思科技意味著更大的機會��。他指出����,“新思科技更擅長于做的是檢測深層次的代碼里的安全隱患或者特殊的質量隱患�����。我們不是做一個簡單的代碼嗅探����,我認為在AIGC的年代反而是新思科技的機會。另外�����,我們有一些能夠幫助客戶發現業務邏輯漏洞的工具和服務��,比如我們的DAST(動態應用安全測試)服務和Seeker。今后是AIGC生成代碼的時代��,有一些安全隱患普通的工具很難觸及到�,而這正是我們這些產品的優勢。”
此外�,他表示AIGC時代的另一個機會在于,“開源代碼片段會不斷地加到AIGC生成的代碼里���。因為我們給大模型的這些訓練輸入���,它會變成一點一點的片段,可能沒有完整地引用某一大段代碼���,但可能會運用某個組件的某幾行�����,這些片段的檢測將會變得非常麻煩����。這也正好是新思科技Black Duck非常著名的一個特性����,那就是代碼片段掃描。”
據介紹�����,Black Duck是一款軟件組成分析工具�����,可提供對第三方開源代碼的可見性�,從而能夠在整個軟件開發周期中管理軟件供應鏈。當檢測到安全風險時���,Black Duck Security Advisories (BDSA) 會借助新思科技的KnowledgeBase(目前業界最全的開源項目���、許可證和安全信息數據庫),提供必要的信息��,幫助企業掌握漏洞信息�����、確定優先級別和進行修復���。
正如新思科技在一篇新聞稿中寫到的����,企業現在越來越意識到軟件風險等同于業務風險,可擴展的應用安全計劃對于高效管理軟件風險至關重要����。隨著安全威脅形勢加劇,企業更加需要簡化測試�、分類和風險管理,以滿足業務需要的速度管理軟件安全��。
京公網安備 11010502041587號