作者：賈天榮 來源：IT時(shí)報(bào)

隨著5G智能終端飛速普及，移動(dòng)終端越來越多地進(jìn)入我們的工作和生活。手機(jī)所承載的數(shù)據(jù)量也越來越快，越來越多。在智慧生態(tài)構(gòu)筑的過程中，安全和隱私始終是一個(gè)繞不開的話題。

近日，在上海舉行的“2023新思科技開發(fā)者大會(huì)”上，OPPO終端安全領(lǐng)域總經(jīng)理王安宇透露，OPPO和益普索做的行業(yè)調(diào)查顯示，消費(fèi)者對(duì)于隱私保護(hù)和安全的訴求特別高，只有2%的消費(fèi)者用戶聲稱不怎么關(guān)注安全隱私，剩下98%的用戶都更關(guān)注隱私和安全。

“我們能夠看到，國內(nèi)和海外的 APP的生態(tài)過程中，確實(shí)是有一些APP是有一定程度的讀取消費(fèi)者的隱私和數(shù)據(jù)?！蓖醢灿畋硎荆苿?dòng)互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)安全的風(fēng)險(xiǎn)和挑戰(zhàn)越來越大，也越來越復(fù)雜，他將數(shù)智時(shí)代的“智”總結(jié)為四種：從鍵盤交互到語音交互的“交互智能”，到涉及智能設(shè)備的“隨身智能”，以及“泛在智能”和“化身智能”，“在不同的場景里面，隱私保護(hù)和安全的要求是不一樣的?！?/p>

為此，長期以來OPPO在整個(gè)安全體系和流程建設(shè)上，和國際權(quán)威的廠商展開合作，共同構(gòu)筑整個(gè)移動(dòng)智能終端的安全體系和流程建設(shè)?！拔覀兲岢隽恕尚拧拍?，并構(gòu)建了4層數(shù)字化的可信框架。從基礎(chǔ)層到能力層，到業(yè)務(wù)、APP、數(shù)據(jù)、整機(jī)、芯片，然后在最上層目標(biāo)是隱私、合規(guī)、透明，希望構(gòu)筑一種‘?dāng)?shù)字化的可信’。”

王安宇談到，從軟件的需求、到設(shè)計(jì)、實(shí)施、測試、發(fā)布的各個(gè)環(huán)節(jié)，OPPO都會(huì)引入業(yè)界的最佳實(shí)踐、工具和能力，構(gòu)筑OPPO的研發(fā)安全生命周期的流程和能力。“總體目標(biāo)，就是把所有的ICT行業(yè)，所有的企業(yè)，所做的安全和隱私的事，總結(jié)一句話，就是信息流的安全性防護(hù)和用戶隱私?！?/p>

新思科技中國區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛也表示，在如今大模型火熱的背景下，AIGC也帶來一些新的機(jī)會(huì)和挑戰(zhàn)。他提到，除了開源帶來的風(fēng)險(xiǎn)，AI會(huì)對(duì)安全的檢測工具提出新的挑戰(zhàn)?！坝葾I生成的代碼，常見的、基礎(chǔ)性的風(fēng)險(xiǎn)可能不會(huì)再那么多了，但在發(fā)現(xiàn)更深層次的代碼安全問題上，更要做好能力的積累以及工具化?！?/p>

付紅勛認(rèn)為，AIGC時(shí)代，數(shù)據(jù)安全與隱私保護(hù)將繼續(xù)成為熱點(diǎn)和趨勢，這對(duì)新思科技來說也意味著新的機(jī)會(huì)，“新思科技更擅長于做的是檢測深層次的代碼里的安全隱患或特殊的質(zhì)量隱患。我們不是做簡單的代碼嗅探，另外，我們有一些能夠幫助客戶發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞的工具和服務(wù)，比如我們的DAST（動(dòng)態(tài)應(yīng)用安全測試）服務(wù)和Seeker。這些產(chǎn)品我認(rèn)為會(huì)是今后AIGC生成代碼的時(shí)代，普通的工具很難觸及到的。”

另一個(gè)機(jī)會(huì)在于，開源代碼片段會(huì)不斷地加到AIGC生成的代碼里?！按竽Ｐ偷挠?xùn)練輸入，會(huì)變成一點(diǎn)一點(diǎn)的片段，可能沒有完整的引用某一大段代碼，但可能會(huì)運(yùn)用某個(gè)組件的某幾行，這些片段的檢測將會(huì)變得非常麻煩。這也正好是新思科技Black Duck非常著名的一個(gè)特性，就是代碼片段掃描。”

作為OPPO終端可信工程的行業(yè)伙伴，新思科技已經(jīng)連續(xù)三年榮膺OPPO合作伙伴類大獎(jiǎng)，新思科技為OPPO提供了應(yīng)用安全管理產(chǎn)品和服務(wù)，包括軟件安全構(gòu)建成熟度模型(BSIMM)評(píng)估等，助力OPPO落實(shí)數(shù)字化可信工程。

據(jù)新思科技調(diào)研顯示，業(yè)界在當(dāng)前應(yīng)用安全（AppSec計(jì)劃）領(lǐng)域還存在“三低”和“兩難”在內(nèi)的諸多挑戰(zhàn)：“三低”是投資回報(bào)率比較低，對(duì)風(fēng)險(xiǎn)把控準(zhǔn)確率低，安全活動(dòng)速度低。

“兩難”則是安全策略難以統(tǒng)一做管理，以及難以聚焦到應(yīng)用里最關(guān)鍵的安全風(fēng)險(xiǎn)。為了應(yīng)對(duì)“三低”“兩難”，新思科技推出了自己的 ASPM的解決方案，即SRM（軟件風(fēng)險(xiǎn)管理平臺(tái)）。

付紅勛介紹，有了 SRM平臺(tái)，就可以實(shí)現(xiàn)AppSec計(jì)劃的“三化”和“兩快”：通過管理簡化、風(fēng)險(xiǎn)狀態(tài)可視化、工作流程標(biāo)準(zhǔn)化，來快速確定風(fēng)險(xiǎn)優(yōu)先級(jí)、快速同步業(yè)界最佳AST能力。

另一方面，新思科技軟件質(zhì)量與安全部門與NowSecure落實(shí)戰(zhàn)略合作，推出自動(dòng)化連續(xù)移動(dòng)應(yīng)用安全測試(MAST)解決方案，旨在補(bǔ)充新思科技行業(yè)領(lǐng)先的托管MAST服務(wù)，通過對(duì)Android和iOS二進(jìn)制文件進(jìn)行快速、自動(dòng)化和語言化的靜態(tài)、動(dòng)態(tài)、交互式和API安全測試，提供廣泛的測試覆蓋率。此外，移動(dòng)應(yīng)用安全測試允許開發(fā)和安全團(tuán)隊(duì)分析移動(dòng)應(yīng)用的組件，包括開源組件、第三方軟件開發(fā)工具包(SDK)以及可傳遞依賴項(xiàng)，并可將基于標(biāo)準(zhǔn)的自動(dòng)化安全測試集成到連續(xù)集成和連續(xù)交付/連續(xù)部署（CI/CD）管道。