12月2日，CIO時代學院、新基建創新研究院和Synopsys新思科技聯合主辦了“第41期CXO直播間”，本次的重磅嘉賓分別是：來自新基建創新研究院領域專家、數世咨詢創始人李少鵬先生，長期從事安全領域的專項研究，致力于為決策者提供安全知識能力；Synopsys新思科技軟件質量與安全部門的高級安全架構師楊國梁先生，作為國際領先的軟件開發安全管理廠家代表，專注于幫助客戶發現和修復基于軟件產品和系統的關鍵安全漏洞。

 

 

　　兩位大咖的現場對話精彩紛呈，碰撞出了許多發人深省的觀點，對于目前的安全領域市場進行了深度分析，同時也提出了許多前瞻性觀點。

 

 

　　今年8月份，Synopsys發布了針對現代應用程序開發安全的調研報告，包括了開發的測試運維等等。這里面就有一些數據，認為“目前應用安全是我們最重要的安全投資”的人數占比58%。并且一半以上的人認為計劃較去年還要增加投資。
 

 

　　我們來執行軟件安全的最佳實踐落地的時候做過一些調查，比如目前測試工具面臨的主要挑戰。其中最大的挑戰就是開發人員缺乏應對已識別問題的知識。比如說工具報了一個問題，可能開發人員并不完全理解這個問題。當然經過這些年培訓的加強，情況已經有所好轉，有正確的人在做正確的事。其次就是通過流程設計融入到開發過程中，解除研發人員的抵觸。需要通過設計流程，讓工具服務于開發人員，服務于整個業務過程，而不是疊加一個東西強制地讓開發人員來做，不然就算有高層的支持也只是表面工作。因此，最重要的是讓大家都認識到工具的價值。

 

　　2、開源存在的安全風險現狀
 

 

　　說到開源的風險，Synopsys大概在每年四五月份的時候會發布審計報告，包含過去一年我們審計的結果。比如去年我們審計了各行各業大概1250多個商業貸款戶，統計他們用了哪些開源組件，這些開源組件中又有哪些安全的風險。根據統計可知，目前大家對開源的使用已經變得不可或缺，或者可以說是嚴重依賴，但卻沒有人有義務去維護這些軟件的質量與安全。

 

　　3、網絡安全投入的分配比例
 

 

　　上圖的左邊就是SAP當時統計的結果，多數安全問題其實發生在應用層，右邊可以看到藍色的柱狀圖，代表有限的資源和預算被投入到了哪些防御的體系上面。

 

　　藍色的部分代表投入，最高藍色數據是在防火墻的檢測；黑色的部分是代表真正發生問題，產生漏洞的部分，也就是最具威脅的情況。比如最左邊的黑色柱和藍色柱之間有明顯的差距，我們其實就應該做出調整，將預算放到處理應用層的安全工作上面來。

 

　　我們做過一個統計分析，一半的問題是在代碼的時候出現的，另一半的問題是在設計階段和后期配置上之類環節出現的。所以我們需要的是，在最初做代碼時候能夠發現問題，研發人員如果能夠及時獲得 SST結果的話，整改的代價是最小的。

 

 

　　4、選擇最適合自己的安全產品
 

 

　　最適合的方法當然還是投入資源，將業務系統拿出來做測試，才能知道工具到底合不合適。但是對于前期比如調研階段，可能沒有那么多精力來做，投入也太高。這時候我們可以給用戶介紹一個方法，借助比如OWASP Benchmark項目的一些參考，通過得分可以得知真正的問題有沒有被報出來。我們有一個靜態分析工具，得分能夠達到 87%。因為靜態工具有自己的局限， 87%已經是目前業界的最高分了。