“應(yīng)用安全是一個非常朝陽的產(chǎn)業(yè),AIGC時代對新思科技來說意味著機(jī)會。”新思科技中國區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛在近日于上海舉行的新思科技開發(fā)者大會上接受C114采訪時談到。
從最新推出的新型應(yīng)用安全態(tài)勢管理(ASPM)解決方案軟件風(fēng)險管理平臺(SRM),到移動應(yīng)用安全測試(MAST)工具和服務(wù),再到針對安全開發(fā)者的開發(fā)人員安全培訓(xùn)(Developer Security Training)企業(yè)級敏捷學(xué)習(xí)平臺,新思科技安全的解決方案產(chǎn)品組合正變得愈發(fā)豐富,從而在支撐行業(yè)構(gòu)建安全可信軟件上貢獻(xiàn)越來越大的力量。
Gartner報告指出:“應(yīng)用安全態(tài)勢管理分析軟件開發(fā)、部署和操作過程中的安全信號,以提高可見性、更高效地管理漏洞并實(shí)施控制。安全管理者可以使用ASPM來提升應(yīng)用安全效率并更好地管理風(fēng)險。”據(jù)其預(yù)測,到2026年,超過40%的開發(fā)專有應(yīng)用的企業(yè)將采用ASPM,以快速識別和解決應(yīng)用安全問題。
付紅勛在采訪中談到,新思科技SRM基于其Code Dx 和Intelligent Orchestration智能編排產(chǎn)品的核心技術(shù)構(gòu)建,經(jīng)過重新設(shè)計和增強(qiáng),可提供全面的ASPM解決方案。通過SRM平臺,可以實(shí)現(xiàn)AppSec計劃的“三化”和“兩快”,即管理簡化、風(fēng)險狀態(tài)可視化、工作流程標(biāo)準(zhǔn)化和快速確定風(fēng)險優(yōu)先級、快速同步業(yè)界最佳應(yīng)用安全測試(AST)能力。
“現(xiàn)在已經(jīng)是移動的世界了,安全和隱私問題如影隨形。”他表示,針對此,新思科技推出了移動應(yīng)用安全測試(MAST)工具和服務(wù),可以通過對Android和iOS二進(jìn)制文件進(jìn)行快速、自動化和語言化的靜態(tài)、動態(tài)、交互式和API安全測試,提供廣泛的測試覆蓋。MAST允許開發(fā)和安全團(tuán)隊(duì)分析移動應(yīng)用的組件,包括開源組件、第三方SDK以及可傳遞依賴項(xiàng),并可將基于標(biāo)準(zhǔn)的自動化安全測試集成到CI/CD。
值得一提的是,作為OPPO終端可信工程的行業(yè)伙伴,新思科技為OPPO提供了應(yīng)用安全管理產(chǎn)品和服務(wù),包括軟件安全構(gòu)建成熟度模型(BSIMM)評估,助力OPPO落實(shí)數(shù)字化可信工程。新思科技已經(jīng)連續(xù)三年榮膺OPPO合作伙伴類大獎。
OPPO終端安全領(lǐng)域總經(jīng)理王安宇在接受采訪時表示,OPPO長期以來非常注重包括軟件在內(nèi)的整體安全體系構(gòu)建。“我們提出了‘可信’概念,并構(gòu)建了4層數(shù)字化的可信框架。從基礎(chǔ)層到能力層,到業(yè)務(wù)、APP、數(shù)據(jù)、整機(jī)、芯片,然后在最上層目標(biāo)是隱私、合規(guī)、透明,希望構(gòu)筑一種‘數(shù)字化的可信’。”他談到,從軟件的需求、到設(shè)計、實(shí)施、測試、發(fā)布的各個環(huán)節(jié),OPPO都會引入業(yè)界的最佳實(shí)踐、工具和能力,然后去構(gòu)筑OPPO的研發(fā)安全生命周期的流程和能力。
在最佳實(shí)踐方面,OPPO采用了新思科技的BSIMM評估,基于這一國際上權(quán)威的組織安全成熟度評估體系雷達(dá)圖識別企業(yè)自身在軟件安全能力上可改進(jìn)之處,然后再基于改進(jìn)產(chǎn)生的價值定義優(yōu)先級,更好地去建設(shè)整個企業(yè)的安全合規(guī)的體系。
“新思科技在我們整個閉環(huán)的軟件安全解決方案里,給了OPPO很多支持。包括SCA(軟件組成分析)和Pen Test(滲透測試)等,同時還有SAST(靜態(tài)應(yīng)用安全分析)等其它的工具和最佳實(shí)踐,共同落到我們整個的流程和體系里面,然后形成一個閉環(huán)的、可改進(jìn)的軟件安全的解決方案。這是OPPO和新思科技在軟件安全方面的一些探索。”王安宇說到。
面對以AIGC為代表的新一輪人工智能浪潮,付紅勛認(rèn)為這對新思科技意味著更大的機(jī)會。他指出,“新思科技更擅長于做的是檢測深層次的代碼里的安全隱患或者特殊的質(zhì)量隱患。我們不是做一個簡單的代碼嗅探,我認(rèn)為在AIGC的年代反而是新思科技的機(jī)會。另外,我們有一些能夠幫助客戶發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞的工具和服務(wù),比如我們的DAST(動態(tài)應(yīng)用安全測試)服務(wù)和Seeker。今后是AIGC生成代碼的時代,有一些安全隱患普通的工具很難觸及到,而這正是我們這些產(chǎn)品的優(yōu)勢。”
此外,他表示AIGC時代的另一個機(jī)會在于,“開源代碼片段會不斷地加到AIGC生成的代碼里。因?yàn)槲覀兘o大模型的這些訓(xùn)練輸入,它會變成一點(diǎn)一點(diǎn)的片段,可能沒有完整地引用某一大段代碼,但可能會運(yùn)用某個組件的某幾行,這些片段的檢測將會變得非常麻煩。這也正好是新思科技Black Duck非常著名的一個特性,那就是代碼片段掃描。”
據(jù)介紹,Black Duck是一款軟件組成分析工具,可提供對第三方開源代碼的可見性,從而能夠在整個軟件開發(fā)周期中管理軟件供應(yīng)鏈。當(dāng)檢測到安全風(fēng)險時,Black Duck Security Advisories (BDSA) 會借助新思科技的KnowledgeBase(目前業(yè)界最全的開源項(xiàng)目、許可證和安全信息數(shù)據(jù)庫),提供必要的信息,幫助企業(yè)掌握漏洞信息、確定優(yōu)先級別和進(jìn)行修復(fù)。
正如新思科技在一篇新聞稿中寫到的,企業(yè)現(xiàn)在越來越意識到軟件風(fēng)險等同于業(yè)務(wù)風(fēng)險,可擴(kuò)展的應(yīng)用安全計劃對于高效管理軟件風(fēng)險至關(guān)重要。隨著安全威脅形勢加劇,企業(yè)更加需要簡化測試、分類和風(fēng)險管理,以滿足業(yè)務(wù)需要的速度管理軟件安全。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會——工業(yè)互聯(lián)網(wǎng)標(biāo)識解析專題論壇在沈陽成功舉辦。