精彩回顾 |【第41期CXO直播间】Synopsys 软件开发全生命周期管理战略安全说

2020-12-17 15:25:32

来源：CIO时代网

　　VUCA时代，面对时代的不确定性，行业的快速转型和运营革新在时刻考验着软件开发团队的响应能力：开源软件广泛应用带来的漏洞、代码安全和维护问题，软件开发环节的监控漏洞和缺陷修复能力等，是摆在开发团队面前的拦路石。那么企业如何实现软件开发全生命周期安全管理的“主动、敏捷、洞察、预见”的战略，从而在源头遏制安全问题？

　　12月2日，CIO时代学院、新基建创新研究院和Synopsys新思科技联合主办了“第41期CXO直播间”，本次的重磅嘉宾分别是：来自新基建创新研究院领域专家、数世咨询创始人李少鹏先生，长期从事安全领域的专项研究，致力于为决策者提供安全知识能力；Synopsys新思科技软件质量与安全部门的高级安全架构师杨国梁先生，作为国际领先的软件开发安全管理厂家代表，专注于帮助客户发现和修复基于软件产品和系统的关键安全漏洞。

　　两位大咖的现场对话精彩纷呈，碰撞出了许多发人深省的观点，对于目前的安全领域市场进行了深度分析，同时也提出了许多前瞻性观点。

　　1、软件测试工具面临的主要挑战

　　今年8月份，Synopsys发布了针对现代应用程序开发安全的调研报告，包括了开发的测试运维等等。这里面就有一些数据，认为“目前应用安全是我们最重要的安全投资”的人数占比58%。并且一半以上的人认为计划较去年还要增加投资。

　　我们来执行软件安全的最佳实践落地的时候做过一些调查，比如目前测试工具面临的主要挑战。其中最大的挑战就是开发人员缺乏应对已识别问题的知识。比如说工具报了一个问题，可能开发人员并不完全理解这个问题。当然经过这些年培训的加强，情况已经有所好转，有正确的人在做正确的事。其次就是通过流程设计融入到开发过程中，解除研发人员的抵触。需要通过设计流程，让工具服务于开发人员，服务于整个业务过程，而不是叠加一个东西强制地让开发人员来做，不然就算有高层的支持也只是表面工作。因此，最重要的是让大家都认识到工具的价值。

　　2、开源存在的安全风险现状

　　说到开源的风险，Synopsys大概在每年四五月份的时候会发布审计报告，包含过去一年我们审计的结果。比如去年我们审计了各行各业大概1250多个商业贷款户，统计他们用了哪些开源组件，这些开源组件中又有哪些安全的风险。根据统计可知，目前大家对开源的使用已经变得不可或缺，或者可以说是严重依赖，但却没有人有义务去维护这些软件的质量与安全。

　　3、网络安全投入的分配比例

　　上图的左边就是SAP当时统计的结果，多数安全问题其实发生在应用层，右边可以看到蓝色的柱状图，代表有限的资源和预算被投入到了哪些防御的体系上面。

　　蓝色的部分代表投入，最高蓝色数据是在防火墙的检测；黑色的部分是代表真正发生问题，产生漏洞的部分，也就是最具威胁的情况。比如最左边的黑色柱和蓝色柱之间有明显的差距，我们其实就应该做出调整，将预算放到处理应用层的安全工作上面来。

　　我们做过一个统计分析，一半的问题是在代码的时候出现的，另一半的问题是在设计阶段和后期配置上之类环节出现的。所以我们需要的是，在最初做代码时候能够发现问题，研发人员如果能够及时获得 SST结果的话，整改的代价是最小的。

　　4、选择最适合自己的安全产品

　　最适合的方法当然还是投入资源，将业务系统拿出来做测试，才能知道工具到底合不合适。但是对于前期比如调研阶段，可能没有那么多精力来做，投入也太高。这时候我们可以给用户介绍一个方法，借助比如OWASP Benchmark项目的一些参考，通过得分可以得知真正的问题有没有被报出来。我们有一个静态分析工具，得分能够达到 87%。因为静态工具有自己的局限， 87%已经是目前业界的最高分了。

精彩回顾 |【第41期CXO直播间】Synopsys 软件开发全生命周期管理战略安全说

精彩回顾 |【第41期CXO直播间】Synopsys 软件开发全生命周期管理战略安全说

Recommend

Hahow 首頁改版，我們的改版流程與學習

Hahow 哈客松 — 精實執行/Google Sprint

產品設計師不能不知道的 iOS 13 （下）

Hahow 數據團隊的誕生

Google Sheets as a Database

尹振涛

周治翰

韩复龄

柒闻网

柒财智库

About Joyk