C114讯 9月18日消息(岳明)“应用安全是一个非常朝阳的产业,AIGC时代对新思科技来说意味着机会。”新思科技中国区应用安全技术总监付红勋在近日于上海举行的新思科技开发者大会上接受C114采访时谈到。
从最新推出的新型应用安全态势管理(ASPM)解决方案软件风险管理平台(SRM),到移动应用安全测试(MAST)工具和服务,再到针对安全开发者的开发人员安全培训(Developer Security Training)企业级敏捷学习平台,新思科技安全的解决方案产品组合正变得愈发丰富,从而在支撑行业构建安全可信软件上贡献越来越大的力量。
Gartner报告指出:“应用安全态势管理分析软件开发、部署和操作过程中的安全信号,以提高可见性、更高效地管理漏洞并实施控制。安全管理者可以使用ASPM来提升应用安全效率并更好地管理风险。”据其预测,到2026年,超过40%的开发专有应用的企业将采用ASPM,以快速识别和解决应用安全问题。
付红勋在采访中谈到,新思科技SRM基于其Code Dx 和Intelligent Orchestration智能编排产品的核心技术构建,经过重新设计和增强,可提供全面的ASPM解决方案。通过SRM平台,可以实现AppSec计划的“三化”和“两快”,即管理简化、风险状态可视化、工作流程标准化和快速确定风险优先级、快速同步业界最佳应用安全测试(AST)能力。
“现在已经是移动的世界了,安全和隐私问题如影随形。”他表示,针对此,新思科技推出了移动应用安全测试(MAST)工具和服务,可以通过对Android和iOS二进制文件进行快速、自动化和语言化的静态、动态、交互式和API安全测试,提供广泛的测试覆盖。MAST允许开发和安全团队分析移动应用的组件,包括开源组件、第三方SDK以及可传递依赖项,并可将基于标准的自动化安全测试集成到CI/CD。
值得一提的是,作为OPPO终端可信工程的行业伙伴,新思科技为OPPO提供了应用安全管理产品和服务,包括软件安全构建成熟度模型(BSIMM)评估,助力OPPO落实数字化可信工程。新思科技已经连续三年荣膺OPPO合作伙伴类大奖。
OPPO终端安全领域总经理王安宇在接受采访时表示,OPPO长期以来非常注重包括软件在内的整体安全体系构建。“我们提出了‘可信’概念,并构建了4层数字化的可信框架。从基础层到能力层,到业务、APP、数据、整机、芯片,然后在最上层目标是隐私、合规、透明,希望构筑一种‘数字化的可信’。”他谈到,从软件的需求、到设计、实施、测试、发布的各个环节,OPPO都会引入业界的最佳实践、工具和能力,然后去构筑OPPO的研发安全生命周期的流程和能力。
在最佳实践方面,OPPO采用了新思科技的BSIMM评估,基于这一国际上权威的组织安全成熟度评估体系雷达图识别企业自身在软件安全能力上可改进之处,然后再基于改进产生的价值定义优先级,更好地去建设整个企业的安全合规的体系。
“新思科技在我们整个闭环的软件安全解决方案里,给了OPPO很多支持。包括SCA(软件组成分析)和Pen Test(渗透测试)等,同时还有SAST(静态应用安全分析)等其它的工具和最佳实践,共同落到我们整个的流程和体系里面,然后形成一个闭环的、可改进的软件安全的解决方案。这是OPPO和新思科技在软件安全方面的一些探索。”王安宇说到。
面对以AIGC为代表的新一轮人工智能浪潮,付红勋认为这对新思科技意味着更大的机会。他指出,“新思科技更擅长于做的是检测深层次的代码里的安全隐患或者特殊的质量隐患。我们不是做一个简单的代码嗅探,我认为在AIGC的年代反而是新思科技的机会。另外,我们有一些能够帮助客户发现业务逻辑漏洞的工具和服务,比如我们的DAST(动态应用安全测试)服务和Seeker。今后是AIGC生成代码的时代,有一些安全隐患普通的工具很难触及到,而这正是我们这些产品的优势。”
此外,他表示AIGC时代的另一个机会在于,“开源代码片段会不断地加到AIGC生成的代码里。因为我们给大模型的这些训练输入,它会变成一点一点的片段,可能没有完整地引用某一大段代码,但可能会运用某个组件的某几行,这些片段的检测将会变得非常麻烦。这也正好是新思科技Black Duck非常著名的一个特性,那就是代码片段扫描。”
据介绍,Black Duck是一款软件组成分析工具,可提供对第三方开源代码的可见性,从而能够在整个软件开发周期中管理软件供应链。当检测到安全风险时,Black Duck Security Advisories (BDSA) 会借助新思科技的KnowledgeBase(目前业界最全的开源项目、许可证和安全信息数据库),提供必要的信息,帮助企业掌握漏洞信息、确定优先级别和进行修复。
正如新思科技在一篇新闻稿中写到的,企业现在越来越意识到软件风险等同于业务风险,可扩展的应用安全计划对于高效管理软件风险至关重要。随着安全威胁形势加剧,企业更加需要简化测试、分类和风险管理,以满足业务需要的速度管理软件安全。 
