新思科技中国区应用安全技术总监付红勋计划面临挑战
发表时间:2023-09-26 07:02:46
文章来源:炫佑科技
浏览次数:210
菏泽炫佑科技
新思科技中国区应用安全技术总监付红勋计划面临挑战
不知不觉中,数字化浪潮席卷各行各业,企业纷纷将数字化战略纳入自身发展规划。 软件作为信息技术的关键载体和产业融合的关键环节,在数字化进程中发挥着重要的支撑作用。
然而新思科技中国区应用安全技术总监付红勋计划面临挑战,随着数字化转型的不断深入,网络安全风险也在增加,企业越来越意识到软件风险等同于业务风险。 如何提高软件的安全性和可靠性,更好地防范安全风险已刻不容缓。
近日,比特网采访了新思科技中国应用安全技术总监付红勋,就方案面临的挑战、企业可采取的应对策略、软件风险管理的优势等相关话题进行了深入交流。平台。
傅红勋,新思科技中国应用安全技术总监
规划挑战?
软件吞噬世界,开源吞噬软件。 在当今的数字时代,开源软件以其开放、低成本、免费参与的特点,成为软件开发的主流。 但与此同时,开源代码引入不明确、监控不足等问题也给开发者和安全团队带来了安全问题。 挑战。 因此,许多公司实施计划来确保软件安全。
然而,在服务全球客户的过程中,新思科技了解到客户在实施其应用安全计划时遇到了各种困难和挑战。 傅红勋概括为三个“低”、两个“难”:
首先,就三个“低”而言,**个“低”是指投资回报率低。 据统计,超过50%的企业拥有多达11个AST工具。 同时,为了更好地利用这些工具,投入了大量的人力和财力,但仍然不能完全保证软件的安全。 第二个“低”是指软件风险控制的准确性低。 *脆弱的软件无法被审计和查明,使得合规性变得困难。 第三个“低”是指执行效率低。 应用程序安全性在SDLC的不同阶段进行测试,并由不同的人操作。 结果也参差不齐,严重降低了效率。
其次,就两个“难”而言,**个“难”是指战略难以统一有效管理。 现在的APP不再是完全自主开发,而是混合源码的项目。 有些是我们自己编写的,有些是开源的,有些是来自第三方供应商的。 面对这些不同的对象,策略也可能略有不同。 第二个“难”是指安全重点工作难以聚焦。 因为太多的测试工具给出了太多的测试结果,包括重复和误报,导致开发人员的大量工作被浪费在非战略性、非关键性、不重要的安全工作上。
在傅红勋看来,基于目前三“低”、两“难”的现状,企业应从三个方面入手,采取相应措施:
**个是整合供应商和工具,比如SAST、SCA等领域,只保留一个或几个工具,统一这些工具的接口,放入统一的数据仓库。
二是流程整合。 安全活动,无论是向左移动还是到处移动,始终需要嵌入到研发过程的相关环节中。 然后对各环节安全活动的策略进行整合和标准化,实现自动编排、调度、去重、关联分析等高效管理。
第三是整合见解和发现,以标准化、总结和优先考虑跨团队、项目和工具的发现,并生成报告以充分了解风险。
SRM赋能企业安全
已发布的报告指出,应用安全态势管理可以分析软件开发、部署和运营期间的安全信号,以提高可见性、更有效地管理漏洞并实施控制。 安全领导者可以使用 ASPM 来提高应用程序安全效率并更好地管理风险。 预计到2026年,超过40%的开发专有应用的企业将采用ASPM来快速识别和解决应用安全问题。
那么,什么是ASPM,它能解决哪些问题呢?
ASPM 代表应用程序安全状态管理 ( )。 应用安全态势管理来分析软件开发、部署和运营期间的安全信号,以提高可见性、更好地管理漏洞并实施控制。 安全经理可以使用 ASPM 来提高应用程序安全效率并更好地管理风险。
基于此,新思科技推出了软件风险管理平台(Risk,SRM),该平台基于新思科技Code Dx和智能编排产品的核心技术构建。 它经过重新设计和增强,可提供全面的 ASPM 解决方案。
据了解,通过SRM软件开发,客户可以通过API接口编写既定的业务策略和安全策略(PaC,即Code)。 同时,在编排一系列手动测试或AST测试工具方面,SRM同时支持手动测试和自动化测试,同时兼容自有工具和第三方工具。 它可以在正确的时间测试正确的对象。 ,进行适当的测试,并测试到适当的深度。 然后,我们对漏洞进行关联分析,去除重复数据,并根据发现的问题、软件本身的价值以及定义的SLA(-Level)优先级进行排序,实现ASPM风险可视化。
值得一提的是,目前支持超过135种商业或开源AST工具,并且还很自然地将两个业界领先的(SAST)和Black Duck(SCA)工具集成到SRM平台中,让客户能够享受业界的SAST和一站式 SCA 扫描引擎。
付红勋将SRM的优势概括为三个“变”和两个“快”。 即管理简单化、风险可视化、工作标准化; 两个“快”,一是快速确定风险优先级,二是快速同步行业领先的测试能力。 具体来说:
简化管理:CI/CD工具、AST工具、缺陷跟踪工具等都可以统一到SRM平台中,这使得管理变得非常简单,避免了不同工具、不同配置的繁琐,结果标准化、统一。 跨工具、跨团队共享和沟通的成本显着降低。
风险可视化:违规项直接映射到代码上推送给开发者。
工作标准化:定义和管理策略,通过API接口将策略写入SRM平台,然后SRM根据既定的策略在正确的时间对正确的对象发起适当的测试,并测试到正确的深度。
快速确定风险优先级:SRM可以快速提示企业中*值得关注的安全风险点,即确定风险优先级。
快速同步业界领先的测试能力:由于 SRM已将SAST和SCA的Black Duck集成到平台中,因此可以快速启动核心测试。
我们看到,面对计划实施中面临的三个“低”、两个“难”,新思科技推出的ASPM解决方案SRM实现了三个“变”、两个“快”,为企业安全提供了有效保障。
写在*后:
随着安全威胁形势的加剧,企业更需要简化测试、分类和风险管理,以按照业务要求的速度管理软件安全。
SRM作为强大的全新ASPM解决方案,为安全和开发团队简化、协调和优化应用安全测试,为企业安全踏上数字化转型之旅提供有力支持。
炫佑科技专注互联网开发小程序开发-app开发-软件开发-网站制作等