精彩回顧 |【第41期CXO直播間】Synopsys 軟件開發全生命周期管理戰略安全說

2020-12-17 15:25:32

來源:CIO時代網

  VUCA時代,面對時代的不確定性,行業的快速轉型和運營革新在時刻考驗著軟件開發團隊的響應能力:開源軟件廣泛應用帶來的漏洞、代碼安全和維護問題,軟件開發環節的監控漏洞和缺陷修復能力等,是擺在開發團隊面前的攔路石。那么企業如何實現軟件開發全生命周期安全管理的“主動、敏捷、洞察、預見”的戰略,從而在源頭遏制安全問題?
\
 
  12月2日,CIO時代學院、新基建創新研究院和Synopsys新思科技聯合主辦了“第41期CXO直播間”,本次的重磅嘉賓分別是:來自新基建創新研究院領域專家、數世咨詢創始人李少鵬先生,長期從事安全領域的專項研究,致力于為決策者提供安全知識能力;Synopsys新思科技軟件質量與安全部門的高級安全架構師楊國梁先生,作為國際領先的軟件開發安全管理廠家代表,專注于幫助客戶發現和修復基于軟件產品和系統的關鍵安全漏洞。

 
\
 
  兩位大咖的現場對話精彩紛呈,碰撞出了許多發人深省的觀點,對于目前的安全領域市場進行了深度分析,同時也提出了許多前瞻性觀點。
 
  1、軟件測試工具面臨的主要挑戰
 
  今年8月份,Synopsys發布了針對現代應用程序開發安全的調研報告,包括了開發的測試運維等等。這里面就有一些數據,認為“目前應用安全是我們最重要的安全投資”的人數占比58%。并且一半以上的人認為計劃較去年還要增加投資。
 
\
 
  我們來執行軟件安全的最佳實踐落地的時候做過一些調查,比如目前測試工具面臨的主要挑戰。其中最大的挑戰就是開發人員缺乏應對已識別問題的知識。比如說工具報了一個問題,可能開發人員并不完全理解這個問題。當然經過這些年培訓的加強,情況已經有所好轉,有正確的人在做正確的事。其次就是通過流程設計融入到開發過程中,解除研發人員的抵觸。需要通過設計流程,讓工具服務于開發人員,服務于整個業務過程,而不是疊加一個東西強制地讓開發人員來做,不然就算有高層的支持也只是表面工作。因此,最重要的是讓大家都認識到工具的價值。
 
  2、開源存在的安全風險現狀
 
\
 
  說到開源的風險,Synopsys大概在每年四五月份的時候會發布審計報告,包含過去一年我們審計的結果。比如去年我們審計了各行各業大概1250多個商業貸款戶,統計他們用了哪些開源組件,這些開源組件中又有哪些安全的風險。根據統計可知,目前大家對開源的使用已經變得不可或缺,或者可以說是嚴重依賴,但卻沒有人有義務去維護這些軟件的質量與安全。
 
  3、網絡安全投入的分配比例
 
\
 
  上圖的左邊就是SAP當時統計的結果,多數安全問題其實發生在應用層,右邊可以看到藍色的柱狀圖,代表有限的資源和預算被投入到了哪些防御的體系上面。
 
  藍色的部分代表投入,最高藍色數據是在防火墻的檢測;黑色的部分是代表真正發生問題,產生漏洞的部分,也就是最具威脅的情況。比如最左邊的黑色柱和藍色柱之間有明顯的差距,我們其實就應該做出調整,將預算放到處理應用層的安全工作上面來。
 
  我們做過一個統計分析,一半的問題是在代碼的時候出現的,另一半的問題是在設計階段和后期配置上之類環節出現的。所以我們需要的是,在最初做代碼時候能夠發現問題,研發人員如果能夠及時獲得 SST結果的話,整改的代價是最小的。
 
 
  4、選擇最適合自己的安全產品
 
\
 
  最適合的方法當然還是投入資源,將業務系統拿出來做測試,才能知道工具到底合不合適。但是對于前期比如調研階段,可能沒有那么多精力來做,投入也太高。這時候我們可以給用戶介紹一個方法,借助比如OWASP Benchmark項目的一些參考,通過得分可以得知真正的問題有沒有被報出來。我們有一個靜態分析工具,得分能夠達到 87%。因為靜態工具有自己的局限, 87%已經是目前業界的最高分了。


相關資訊

【邀請函】第41期CXO直播間

2020-11-18

為什么說軟件開發者是有史以來最好的工作呢?

2018-08-23

軟件開發團隊最常見的錯誤

2018-07-10

軟件開發中的10大不為人知的真相

2018-06-01
日本熟妇色在线视频