AI驱动的设计应用
虽然2020年有很多不稳定的因素,但是新思科技依然能清晰看到2021年软件应用安全的六大趋势。
正如DevOps在过去几年对应用安全实践所产生的深远影响一样,在新冠肺炎疫情爆发的这一年,云技术加速应用正在进一步重塑软件安全格局。
尽管DevOps呈现了软件构建、交付和运行方式的变革,但应用程序的架构、组成和定义也在迅速发生变化,并引发人们对软件安全策略的重新思考。未来一到两年,快速交付速度和云转型的双重压力将对软件安全市场产生重大影响。
在过去的五到十年,软件安全已从“扫描-报告”式的审核思维方式演变为安全保障实践,在提高安全的同时不会牺牲速度和创新。随着开源使用增加,开源和第三方组件的许可证滥用和安全漏洞风险也提高了,因此软件组成分析已经成为安全保障计划的关键。随着云基础架构、微服务和API的广泛应用,新思科技看到了应用程序在定义上也发生了类似,甚至是更大的转变——越来越多的第三方服务、API、微服务和云原生组件服务的集成都通过云提供商或托管编排平台(如Kubernetes)来进行应用编排。
随着疫情在全球蔓延,网上交流和数字交易激增。同时,企业遭受网络攻击的总体攻击面也大幅增加。大多数企业对此没有充足的应对准备。
现在,企业不得不改变他们的流程、服务和技术,以达到客户期待,解决其生存危机。这要求在不损害组织和客户数据安全及隐私的情况下灵活行事。企业必须采取灵活的解决方案,同时保护企业自身及客户数据的安全和隐私。
2020年,ISO / SAE 21434网络安全工程标准草案出台,联合国世界车辆法规协调论坛(WP.29) 对网络安全和软件更新的法规也开始采用。这些标准和法规更加重视汽车行业的网络安全,并将极大地影响汽车制造商和供应商,尤其是在未来几年。我们需要从技术及企业层面来考虑网络安全。
2021年,应该正式摒弃集中、孤立的软件安全模式。许多企业最初采取的这种模式颇不成熟,因为这一做法意味着只有一个团队负责所有正在构建中的应用的安全。时间证明,这种做法不仅拖慢流程还让团队成员身心俱疲。最终,安全团队和开发团队会陷入僵局,导致应用程序安全性低且上市缓慢。
在新模型中(我们可以称之为软件安全2.0),安全与软件开发紧密结合。它贯穿于设计、实施、维护的每个阶段。安全团队提供专业知识支持,但是安全防护是自动化的,并与软件开发流程集合,可以无缝添加,从而构建出更安全、优质的产品。
在过去的一年里,新思科技看到越来越多的团队使用低代码/无代码平台快速构建应用程序。应用安全测试工具(Application Security Testing,简称AST),尤其是静态应用安全测试工具(Static Application Security Testing,简称SAST)在执行代码扫描时效果最佳。SAST工具的工作方式可能需要在近期进行修改以适应这些平台。
目前,应用程序漏洞依然形式严峻,甚至安全设备厂商本身都有大量的易受攻击的安全漏洞。
公司安全团队的地位虽然有所提高,但仍然没有受到足够的重视,并且基本上都受困于人手不足的状态。仅有的人手往往要对线上安全问题疲于奔命,很少有精力兼顾开发过程的应用安全。
安全“向左移”的概念已经开始被业界所广泛接受,开源供应链风险评估体系、研发运营安全能力成熟度模型等内容的相继发布,将使得企业更加重视开发过程中的安全活动。企业会在应用开发安全上投入更多的资源,尤其是开源组件治理、白盒代码检查等收益显著的安全活动。
###
鸣谢:
该文章是在网络安全专家的支持和专业指导下完成。他们是:新思科技软件质量与安全部门总经理Jason Schmitt;新思科技交互式应用安全测试产品管理高级经理Asma Zubair;新思科技首席汽车安全策略师Dennis Kengo Oka;新思科技高级安全策略师Jonathan Knudsen;新思科技产品管理高级总监(DevOps解决方案)Meera Rao以及新思科技软件质量与安全部门高级安全架构师杨国梁。