精彩回顾 |【第41期CXO直播间】Synopsys 软件开发全生命周期管理战略安全说

2020-12-17 15:25:32

来源:CIO时代网

  VUCA时代,面对时代的不确定性,行业的快速转型和运营革新在时刻考验着软件开发团队的响应能力:开源软件广泛应用带来的漏洞,代码安全和维护问题,软件开发环节的监控漏洞和缺陷修复能力等,是摆在开发团队面前的拦路石。那么企业如何实现软件开发全生命周期安全管理的“主动,敏捷,洞察,预见”的战略,从而在源头遏制安全问题?
 
  12月2日,CIO时代学院,新基建创新研究院和Synopsys新思科技联合主办了“第41期CXO直播间”,本次的重磅嘉宾分别是:来自新基建创新研究院领域专家,数世咨询创始人李少鹏先生,长期从事安全领域的专项研究,致力于为决策者提供安全知识能力;Synopsys新思科技软件质量与安全部门的高级安全架构师杨国梁先生,作为国际领先的软件开发安全管理厂家代表,专注于帮助客户发现和修复基于软件产品和系统的关键安全漏洞。

 
 
  两位大咖的现场对话精彩纷呈,碰撞出了许多发人深省的观点,对于目前的安全领域市场进行了深度分析,同时也提出了许多前瞻性观点。
 
  1,软件测试工具面临的主要挑战
 
  今年8月份,Synopsys发布了针对现代应用程序开发安全的调研报告,包括了开发的测试运维等等。这里面就有一些数据,认为“目前应用安全是我们最重要的安全投资”的人数占比58%。并且一半以上的人认为计划较去年还要增加投资。
 

 
  我们来执行软件安全的最佳实践落地的时候做过一些调查,比如目前测试工具面临的主要挑战。其中最大的挑战就是开发人员缺乏应对已识别问题的知识。比如说工具报了一个问题,可能开发人员并不完全理解这个问题。当然经过这些年培训的加强,情况已经有所好转,有正确的人在做正确的事。其次就是通过流程设计融入到开发过程中,解除研发人员的抵触。需要通过设计流程,让工具服务于开发人员,服务于整个业务过程,而不是叠加一个东西强制地让开发人员来做,不然就算有高层的支持也只是表面工作。因此,最重要的是让大家都认识到工具的价值。
 
  2,开源存在的安全风险现状
 
 
  说到开源的风险,Synopsys大概在每年四五月份的时候会发布审计报告,包含过去一年我们审计的结果。比如去年我们审计了各行各业大概1250多个商业贷款户,统计他们用了哪些开源组件,这些开源组件中又有哪些安全的风险。根据统计可知,目前大家对开源的使用已经变得不可或缺,或者可以说是严重依赖,但却没有人有义务去维护这些软件的质量与安全。
 
  3,网络安全投入的分配比例
 
 
  上图的左边就是SAP当时统计的结果,多数安全问题其实发生在应用层,右边可以看到蓝色的柱状图,代表有限的资源和预算被投入到了哪些防御的体系上面。
 
  蓝色的部分代表投入,最高蓝色数据是在防火墙的检测;黑色的部分是代表真正发生问题,产生漏洞的部分,也就是最具威胁的情况。比如最左边的黑色柱和蓝色柱之间有明显的差距,我们其实就应该做出调整,将预算放到处理应用层的安全工作上面来。
 
  我们做过一个统计分析,一半的问题是在代码的时候出现的,另一半的问题是在设计阶段和后期配置上之类环节出现的。所以我们需要的是,在最初做代码时候能够发现问题,研发人员如果能够及时获得 SST结果的话,整改的代价是最小的。
 
 
  4,选择最适合自己的安全产品
 
 
  最适合的方法当然还是投入资源,将业务系统拿出来做测试,才能知道工具到底合不合适。但是对于前期比如调研阶段,可能没有那么多精力来做,投入也太高。这时候我们可以给用户介绍一个方法,借助比如OWASP Benchmark项目的一些参考,通过得分可以得知真正的问题有没有被报出来。我们有一个静态分析工具,得分能够达到 87%。因为静态工具有自己的局限, 87%已经是目前业界的最高分了。




相关资讯

【邀请函】第41期CXO直播间

2020-11-18

为什么说软件开发者是有史以来最好的工作呢?

2018-08-23

软件开发团队最常见的错误

2018-07-10

软件开发中的10大不为人知的真相

2018-06-01
Baidu