新思科技与业内专家共同探讨软件安全的改进

近年来不少软件安全事件成为了新闻头条，无论是软件开发商还是普通消费者对软件安全隐患都深表担忧。但也不要忽略了业界在软件安全的努力和取得的成果。在2020年即将到来之际，新思科技与业内专家探讨在过去几年对软件安全产生积极影响的趋势、流程和技术。

对于希望转向DevSecOps并构建安全的企业来说，以下三个关键领域对他们产生了巨大影响：

• 消除信息壁垒。不要等到错误和漏洞对应用造成破坏之后再修复它们，而应像对待DevOps流程中的任何其它错误一样对待安全问题。安全性不应是单独存在的，不应该是开发人员仅在发现安全性问题时才能从中获得反馈。此外，找到合适的协作自动化工具以使开发、质量保证和安全团队能够一起工作是DevSecOps的重要组成部分。
• 促进协作变革。企业希望弥补DevOps与安全性之间的差距，同时又保持生产率和解决方案上市速度，但他们通常没有意识到整个企业都需要进行更改。就像持续集成、持续交付和持续部署一样，开发、安全和运营团队之间也必须进行持续的协作和沟通等等。
• 培训和成就安全能手。通过建立培训和安全支持者计划，开发团队的成员可以通过指导、培训以及与应用程序安全团队密切合作，学习并自愿培养软件安全技能和意识。这些安全能手们在第一线指导开发团队应用程序安全性，弥补DevOps与安全团队之间存在的差距。

我看到了两种软件安全趋势，一种是在技术工具方面；另一种是工程方面。

在工具方面，大多数都集中在IAST（交互式应用安全测试）和DAST（动态应用安全测试）上。这些新技术将彻底改变应用程序的安全性。

其次是以解决方案为导向的应用程序安全性。 AppSec团队专注于发现问题，然后让开发人员修复问题。事情正在慢慢改变，现在正构建工程师可以使用的解决方案。

这就是道琼斯的发展方向。我们正在尝试面向身份验证、加密和跨站点脚本编写这类问题的通用解决方案。

对于我们来说，面向特定技术开发解决方案更容易，然后告诉开发人员：“嘿，要使用身份验证吗？这里是一个库、一个模式或一个要使用的工具。”这种以解决方案为导向的工程安全性越来越受到关注。

混合云战略始终承诺并提供更低的成本、更好的敏捷性、更高的运营效率以及更灵活的适应新技术更新换代的能力。金融机构面临的最大问题是，传统的本地存储与公共云和私有云的结合是否可以提供足够的安全性和治理措施，以抵御欺诈和数据泄露的持续威胁。

具有讽刺意味的是，尽管混合云环境会因企业不断在私有和/或本地环境与公共云之间移动数据而带来安全风险，但它们仍可以实现更大的灾难恢复和更高的数据安全性。因此，银行将处于更好的状态以实现合规性。这是因为将数据放在一个地方通常比在整个企业的多个信息孤岛中分散保护起来更容易。此外，云供应商在确保数据安全方面有着巨大的既得利益。

除了需要安全的软件（我们和其他几家公司都在这一领域开展业务）之外，还有一种新兴趋势是确保基础硬件也安全。新思科技有很大一部分业务是半导体设计，提供电子设计自动化软件工具和芯片设计构件。

我们越来越多地从合作伙伴那里听到，他们不仅希望构建像IoT设备这样的超酷且功能强大的芯片，而且还需要安全的IoT设备。他们希望确保不仅在该芯片上运行的软件是安全的，而且底层硬件也得安全。我的大部分职业生涯都是和硬件打交道，看到硬件团队的需求中出现安全性，这使我倍感兴奋。

《通用数据保护条例》（GDPR）不可避免地重塑了欧洲（乃至全世界）企业如何处理网络安全的模式。

企业采用全面的安全计划，在设计阶段将安全性深度集成到IT系统中，而不是在部署后进行改进。得益于此，企业将获得一致且更强大的数据安全性。整合安全体系结构，将其嵌入平台中并贯穿整个IT网络，这通常在解决网络安全事件和提升GDPR合规性方面更为有效。

企业越来越意识到安全问题的重要性。对软件开发人员安全培训的需求不断增长，因此他们能够从一开始就构建安全软件。随着越来越多的企业需要安全培训，安全技术也将迅速增强。有些开发人员对安全性仍然漠不关心（除非系统受到破坏），此类的培训课程有助于让他们树立“安全开发”心态。

在整个软件交付生命周期中集成安全性的公司更有可能在整个企业中贯彻DevOps实践。

我们发现，在安全集成最高级别的公司中，有22％的公司已达到DevOps演进的高级阶段。DevOps的原理和安全性的原理有异曲同工之妙，能为软件开发带来积极影响（包括文化、自动化、评估和共享），能确保出色的安全性。

浓厚的DevOps文化还支持更强的安全性。共享的文化，团队使用共同的工具进行协作并朝着共同的目标努力；交付团队拥有强大的自治能力，但是跨企业边界完成工作相对容易——这种文化可以使不同部门真正地担负起共同的安全责任，可以尽早发现问题并以最佳方式解决问题。

（编辑：ASP站长网）