軟件已成為人們生活及企業(yè)經營活動中必不可少的工具。近年來，隨著數字化技術的飛速發(fā)展，企業(yè)的軟件需求快速增長，但隨之而來的軟件安全問題，如惡意代碼、數據泄露、違規(guī)內容等等，在很大程度上影響了數字化轉型的進程和質量，甚至會給企業(yè)帶來財產損失。

不久前，新思科技發(fā)布《2021年軟件漏洞快照：新思科技應用安全測試服務分析》報告，報告分析了2020年對2,600個目標(軟件或系統(tǒng))進行的3,900次測試的數據。這些數據由新思科技安全顧問在評估中心為客戶進行的測試匯編而成，包括滲透測試、動態(tài)應用安全測試和移動應用安全分析，模擬真實世界中攻擊者的行為以測試正在運行的應用。

在新思科技近期舉行的線上媒體交流會上，新思科技中國區(qū)軟件應用安全技術總監(jiān)楊國梁對該報告進行了深入解讀。他表示，新思科技的目標就是幫助各行各業(yè)的客戶，在數字化轉型的過程中構建可信的軟件。

軟件安全發(fā)展的趨勢和挑戰(zhàn)

目前，DevSecOps、云化轉型、風險管理是軟件轉型的重要趨勢，具體來看：

1、DevSecOps

如今，DevOps模型已經被人們廣泛接受，企業(yè)在實施DevOps過程中需要融入安全時，勢必會加入一些Application?Security?Test應用安全測試的方法。但其實，無論是方法還是工具，在引入初期都是比較碎片化，相對處于一個孤島的狀態(tài)。

2、云化轉型

軟件云化既有好處也有風險，比如云上的基礎設施即代碼(IaC)的安全問題，在Docker中配置文件不當，就會導致出現一些橫向漂移的攻擊等，這是在軟件上云之后帶來的，過去軟件系統(tǒng)中不會存在的安全問題。

3、風險管理

將整個系統(tǒng)、軟件、應用從安全問題提升為風險管理的過程中，不光面臨的是一個一個具體的安全問題，而是在整個DevOps體系化運作之后，都要將所有的安全問題視為一種系統(tǒng)級的風險問題進行統(tǒng)一化地管理。

楊國梁指出，當前的軟件安全應用還面臨著來自三方面的挑戰(zhàn)。首先，隨著數字化轉型的推進，應用程序的數量會越來越多，DevOps體系發(fā)展起來后，每一個應用的發(fā)布的周期變得越來越短，時間被壓縮得越來越快。

其次，開發(fā)應用程序企業(yè)的安全部門和開發(fā)部門的目標略有差異。開發(fā)部門工作量大、時間短，其首要目標是及時發(fā)布、快速上線;而安全部門則要在及時發(fā)布、快速上線的前提下，還要確保軟件不能出安全問題。同時，無論對安全部門還是對開發(fā)部門來說，人員和工作量都處于一個非常緊張的狀態(tài)。

最后，安全和開發(fā)的工具很難形成公司整體的策略，比如在什么時間節(jié)點，以什么樣的程度，用什么樣的工具等，都處于一個相對比較碎片化的狀態(tài)。

“現在越來越多的應用都采用了微服務模式，把其中的某一個模塊精簡到最小的服務單元，然后以數據調用的形式互相互通，提供整個系統(tǒng)的應用。這些微服務之間，客戶端和服務端絕大多數的數據都是通過API來傳輸，API本身的安全問題其實也非常嚴峻?！睏顕赫f道。

安全之路何去何從

實際上，“安全左移”已成為軟件行業(yè)的共識，從上線到測試，到編碼，再到設計，越來越往軟件生命周期的左側盡早去解決安全問題。

但最近兩年新思科技發(fā)現，如果進行純粹的左移不一定能夠解決所有問題，軟件在上線之后也需要進行持續(xù)監(jiān)控。

為有效管理業(yè)務風險，新思科技總結了構建可信的軟件的三個方向。

第一，保護軟件的供應鏈安全。有許多開源組件構成了現在的軟件系統(tǒng)，但軟件的使用方不一定是構建者，所以整個軟件的供應鏈是一個很長的體系，如果在整個供應鏈任何一個環(huán)節(jié)出了問題，都會影響軟件的安全程度。因此，在供應鏈中，需要使用全面的應用安全工具，確保整個供應鏈是相對安全的。

第二，將安全性納入DevOps。DevOps已是大勢所趨，其大的特點就是快，開發(fā)快，出現問題后需要解決的速度也要更快。借助智能AST編排和關聯，幫助團隊保持DevOps速度，并將修復重點放在對業(yè)務最關鍵的問題上。

第三，建立全面的應用安全項目。人員、流程和技術三個環(huán)節(jié)都需要考慮，這可以解決整個企業(yè)和應用生命周期所有階段的安全風險。

“對于企業(yè)來說，軟件安全可能已經不再是純成本中心，”楊國梁表示，“可能在不久的將來會變成一些合規(guī)導向的事件，也就是說企業(yè)的安全需求必須被滿足，如果不滿足，推向市場都會成問題。所以軟件安全已不再是一個可有可無的事情，而是一個必須要做的事情。”

寫在最后：

《“十四五”軟件和信息技術服務業(yè)發(fā)展規(guī)劃》指出，軟件是新一代信息技術的靈魂，是數字經濟發(fā)展的基礎。

在數字化轉型浪潮下，幾乎所有的業(yè)務都是軟件提供支持，如果無法提供安全的軟件，那么企業(yè)發(fā)展將會受到極大的限制?？梢哉f，構建安全可信的軟件，是有力推動企業(yè)數字化轉型，保持核心競爭優(yōu)勢的根本所在。