不久前,新思科技发布《2021年软件漏洞快照:新思科技应用安全测试服务分析》报告,报告分析了2020年对2,600个目标(软件或系统)进行的3,900次测试的数据。这些数据由新思科技安全顾问在评估中心为客户进行的测试汇编而成,包括渗透测试、动态应用安全测试和移动应用安全分析,模拟真实世界中攻击者的行为以测试正在运行的应用。
在新思科技近期举行的线上媒体交流会上,新思科技中国区软件应用安全技术总监杨国梁对该报告进行了深入解读。他表示,新思科技的目标就是帮助各行各业的客户,在数字化转型的过程中构建可信的软件。
软件安全发展的趋势和挑战
目前,DevSecOps、云化转型、风险管理是软件转型的重要趋势,具体来看:
1、DevSecOps
如今,DevOps模型已经被人们广泛接受,企业在实施DevOps过程中需要融入安全时,势必会加入一些Application Security Test应用安全测试的方法。但其实,无论是方法还是工具,在引入初期都是比较碎片化,相对处于一个孤岛的状态。
2、云化转型
软件云化既有好处也有风险,比如云上的基础设施即代码(IaC)的安全问题,在Docker中配置文件不当,就会导致出现一些横向漂移的攻击等,这是在软件上云之后带来的,过去软件系统中不会存在的安全问题。
3、风险管理
将整个系统、软件、应用从安全问题提升为风险管理的过程中,不光面临的是一个一个具体的安全问题,而是在整个DevOps体系化运作之后,都要将所有的安全问题视为一种系统级的风险问题进行统一化地管理。
杨国梁指出,当前的软件安全应用还面临着来自三方面的挑战。首先,随着数字化转型的推进,应用程序的数量会越来越多,DevOps体系发展起来后,每一个应用的发布的周期变得越来越短,时间被压缩得越来越快。
其次,开发应用程序企业的安全部门和开发部门的目标略有差异。开发部门工作量大、时间短,其首要目标是及时发布、快速上线;而安全部门则要在及时发布、快速上线的前提下,还要确保软件不能出安全问题。同时,无论对安全部门还是对开发部门来说,人员和工作量都处于一个非常紧张的状态。
最后,安全和开发的工具很难形成公司整体的策略,比如在什么时间节点,以什么样的程度,用什么样的工具等,都处于一个相对比较碎片化的状态。
“现在越来越多的应用都采用了微服务模式,把其中的某一个模块精简到最小的服务单元,然后以数据调用的形式互相互通,提供整个系统的应用。这些微服务之间,客户端和服务端绝大多数的数据都是通过API来传输,API本身的安全问题其实也非常严峻。”杨国梁说道。
安全之路何去何从
实际上,“安全左移”已成为软件行业的共识,从上线到测试,到编码,再到设计,越来越往软件生命周期的左侧尽早去解决安全问题。
但最近两年新思科技发现,如果进行纯粹的左移不一定能够解决所有问题,软件在上线之后也需要进行持续监控。
为有效管理业务风险,新思科技总结了构建可信的软件的三个方向。
第一,保护软件的供应链安全。有许多开源组件构成了现在的软件系统,但软件的使用方不一定是构建者,所以整个软件的供应链是一个很长的体系,如果在整个供应链任何一个环节出了问题,都会影响软件的安全程度。因此,在供应链中,需要使用全面的应用安全工具,确保整个供应链是相对安全的。
第二,将安全性纳入DevOps。DevOps已是大势所趋,其大的特点就是快,开发快,出现问题后需要解决的速度也要更快。借助智能AST编排和关联,帮助团队保持DevOps速度,并将修复重点放在对业务最关键的问题上。
第三,建立全面的应用安全项目。人员、流程和技术三个环节都需要考虑,这可以解决整个企业和应用生命周期所有阶段的安全风险。
“对于企业来说,软件安全可能已经不再是纯成本中心,”杨国梁表示,“可能在不久的将来会变成一些合规导向的事件,也就是说企业的安全需求必须被满足,如果不满足,推向市场都会成问题。所以软件安全已不再是一个可有可无的事情,而是一个必须要做的事情。”
写在最后:
《“十四五”软件和信息技术服务业发展规划》指出,软件是新一代信息技术的灵魂,是数字经济发展的基础。
在数字化转型浪潮下,几乎所有的业务都是软件提供支持,如果无法提供安全的软件,那么企业发展将会受到极大的限制。可以说,构建安全可信的软件,是有力推动企业数字化转型,保持核心竞争优势的根本所在。
