新思科技：2021年軟件安全行業(yè)六大趨勢預測

雖然2020年有很多不穩定的因素，而且疫情下的軟件安全形勢更加復雜，但是新思科技依然能清晰看到2021年軟件應用安全的六大趨勢。新思科技軟件質(zhì)量與安全部門(mén)相信隨著(zhù)軟件安全投入持續增加，市場(chǎng)規模將進(jìn)一步擴大，發(fā)展潛力也將更多地被激發(fā)出來(lái)。掌握未來(lái)趨勢，有助于在來(lái)年更快地構建安全、優(yōu)質(zhì)的軟件。

1   API安全、云應用安全及應用安全編排服務(wù)需求增加

正如DevOps在過(guò)去幾年對應用安全實(shí)踐所產(chǎn)生的深遠影響一樣，在新冠肺炎疫情爆發(fā)的這一年，云技術(shù)加速應用正在進(jìn)一步重塑軟件安全格局。

盡管DevOps呈現了軟件構建、交付和運行方式的變革，但應用程序的架構、組成和定義也在迅速發(fā)生變化，并引發(fā)人們對軟件安全策略的重新思考。未來(lái)一到兩年，快速交付速度和云轉型的雙重壓力將對軟件安全市場(chǎng)產(chǎn)生重大影響。

在過(guò)去的五到十年，軟件安全已從“掃描-報告”式的審核思維方式演變?yōu)榘踩Ｕ蠈?shí)踐，在提高安全的同時(shí)不會(huì )犧牲速度和創(chuàng )新。隨著(zhù)開(kāi)源使用增加，開(kāi)源和第三方組件的許可證濫用和安全漏洞風(fēng)險也提高了，因此軟件組成分析已經(jīng)成為安全保障計劃的關(guān)鍵。隨著(zhù)云基礎架構、微服務(wù)和API的廣泛應用，新思科技看到了應用程序在定義上也發(fā)生了類(lèi)似，甚至是更大的轉變——越來(lái)越多的第三方服務(wù)、API、微服務(wù)和云原生組件服務(wù)的集成都通過(guò)云提供商或托管編排平臺（如Kubernetes）來(lái)進(jìn)行應用編排。

新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Jason Schmitt表示：“為了領(lǐng)先于云轉型，軟件安全將進(jìn)一步升級，成為基于風(fēng)險的漏洞管理服務(wù)，作為軟件構建和交付流程的一部分將安全服務(wù)自動(dòng)化并進(jìn)行編排?！?/p>

2   網(wǎng)上交流和數字交易激增，網(wǎng)絡(luò )攻擊的整體攻擊面擴大

隨著(zhù)疫情在全球蔓延，網(wǎng)上交流和數字交易激增。同時(shí)，企業(yè)遭受網(wǎng)絡(luò )攻擊的總體攻擊面也大幅增加。大多數企業(yè)對此沒(méi)有充足的應對準備。

現在，企業(yè)不得不改變他們的流程、服務(wù)和技術(shù)，以達到客戶(hù)期待，解決其生存危機。這要求在不損害組織和客戶(hù)數據安全及隱私的情況下靈活行事。企業(yè)必須采取靈活的解決方案，同時(shí)保護企業(yè)自身及客戶(hù)數據的安全和隱私。

新思科技交互式應用安全測試產(chǎn)品管理高級經(jīng)理Asma Zubair預測 道：“因此，我預計在未來(lái)的幾個(gè)月，越來(lái)越多的企業(yè)將擁抱DevSecOps等概念。DevSecOps描述了一種企業(yè)文化，通過(guò)這種文化，可以?xún)?yōu)化軟件開(kāi)發(fā)、測試和部署實(shí)踐流程，縮短發(fā)布周期并持續交付軟件。交互式應用安全測試(IAST)是一種基于代理的技術(shù)，可以檢測Web應用程序中的漏洞。我預計IAST在2021年的使用還會(huì )增長(cháng)?！?/span>

3   技術(shù)和企業(yè)層面均需考慮網(wǎng)絡(luò )安全

2020年，ISO / SAE 21434網(wǎng)絡(luò )安全工程標準草案出臺，聯(lián)合國世界車(chē)輛法規協(xié)調論壇(WP.29) 對網(wǎng)絡(luò )安全和軟件更新的法規也開(kāi)始采用。這些標準和法規更加重視汽車(chē)行業(yè)的網(wǎng)絡(luò )安全，并將極大地影響汽車(chē)制造商和供應商，尤其是在未來(lái)幾年。我們需要從技術(shù)及企業(yè)層面來(lái)考慮網(wǎng)絡(luò )安全。

新思科技首席汽車(chē)安全策略師Dennis Kengo Oka指出：“這包括建立網(wǎng)絡(luò )安全文化意識以及實(shí)現網(wǎng)絡(luò )安全的管理和培訓。此外，汽車(chē)企業(yè)在明年會(huì )需要采用網(wǎng)絡(luò )安全工程流程，包括安全軟件開(kāi)發(fā)流程。隨著(zhù)汽車(chē)系統使用越來(lái)越多的軟件，對于汽車(chē)行業(yè)來(lái)說(shuō)，部署自動(dòng)化解決方案以幫助在軟件開(kāi)發(fā)初期發(fā)現和修復軟件漏洞變得非常重要?！?/p>

4   應用團隊將更多地采用DevSecOps流程

2021年，應該正式摒棄集中、孤立的軟件安全模式。許多企業(yè)最初采取的這種模式頗不成熟，因為這一做法意味著(zhù)只有一個(gè)團隊負責所有正在構建中的應用的安全。時(shí)間證明，這種做法不僅拖慢流程還讓團隊成員身心俱疲。最終，安全團隊和開(kāi)發(fā)團隊會(huì )陷入僵局，導致應用程序安全性低且上市緩慢。

在新模型中（我們可以稱(chēng)之為軟件安全2.0），安全與軟件開(kāi)發(fā)緊密結合。它貫穿于設計、實(shí)施、維護的每個(gè)階段。安全團隊提供專(zhuān)業(yè)知識支持，但是安全防護是自動(dòng)化的，并與軟件開(kāi)發(fā)流程集合，可以無(wú)縫添加，從而構建出更安全、優(yōu)質(zhì)的產(chǎn)品。

新思科技高級安全策略師Jonathan Knudsen表示：“2021年，我預計在安全團隊的適當支持下，越來(lái)越多的應用團隊將對安全性承擔全部責任。隨著(zhù)職責和預算的變化，應用團隊將更廣泛使用DevSecOps流程。憑借DevSecOps，團隊可以充分利用自動(dòng)化，最大限度提速，并且持續改進(jìn)的企業(yè)文化使每個(gè)團隊都可以對流程進(jìn)行調整及優(yōu)化?！?/p>

5   使用低代碼或無(wú)代碼將“Sec”（安全）真正構建到DevOps中

 在過(guò)去的一年里，新思科技看到越來(lái)越多的團隊使用低代碼/無(wú)代碼平臺快速構建應用程序。應用安全測試工具（Application Security Testing，簡(jiǎn)稱(chēng)AST），尤其是靜態(tài)應用安全測試工具（Static Application Security Testing，簡(jiǎn)稱(chēng)SAST）在執行代碼掃描時(shí)效果最佳。SAST工具的工作方式可能需要在近期進(jìn)行修改以適應這些平臺。

新思科技產(chǎn)品管理高級總監（DevOps解決方案）Meera Rao表示：“我設想將安全內置到軟件中的方式將發(fā)生變化。越來(lái)越多的AST工具將朝著(zhù)提供與低代碼/無(wú)代碼平臺相同的體驗的方向發(fā)展。通過(guò)為工具提供一些輸入，它們將能夠生成在本地或云端無(wú)縫運行該工具所需的所有集成，就像低代碼/無(wú)代碼平臺一樣?！?/p>

6   大規模的安全“向左移”

目前，應用程序漏洞依然形式嚴峻，甚至安全設備廠(chǎng)商本身都有大量的易受攻擊的安全漏洞。公司安全團隊的地位雖然有所提高，但仍然沒(méi)有受到足夠的重視，并且基本上都受困于人手不足的狀態(tài)。僅有的人手往往要對線(xiàn)上安全問(wèn)題疲于奔命，很少有精力兼顧開(kāi)發(fā)過(guò)程的應用安全。

安全“向左移”的概念已經(jīng)開(kāi)始被業(yè)界所廣泛接受，開(kāi)源供應鏈風(fēng)險評估體系、研發(fā)運營(yíng)安全能力成熟度模型等內容的相繼發(fā)布，將使得企業(yè)更加重視開(kāi)發(fā)過(guò)程中的安全活動(dòng)。企業(yè)會(huì )在應用開(kāi)發(fā)安全上投入更多的資源，尤其是開(kāi)源組件治理、白盒代碼檢查等收益顯著(zhù)的安全活動(dòng)。

新思科技軟件質(zhì)量與安全部門(mén)高級安全架構師楊國梁表示：“希望在2021年可以看到業(yè)界能夠更大規模地將安全‘向左移’的思想在整個(gè)開(kāi)發(fā)生命周期中貫徹落實(shí)，在賦予安全團隊更大權力的同時(shí)，加強安全團隊與開(kāi)發(fā)團隊的互動(dòng)，共同商議更加符合企業(yè)目標的安全方案?！?/p>