新思科技杨国梁:如何评估SSI是否有效?

随着5G、边缘计算、大数据和物联网的快速发展,无人驾驶、智能工厂全面普及,每个人都可以互联、机械连接、甚至人机连接,在信息化快速发展的今天,软件应用服务渗透到各行各业和领域,软件应用自身的安全问题也成为焦点 。

现在世界安全事件频发,代码程序的脆弱性是重要的诱因之一 。程序的安全漏洞需要尽早被发现,如果运行中的系统被曝出漏洞,企业会付出比安全前置更高的修复代价 。根据美国国家标准与技术研究所(NIST)的统计,在发布后执行代码修复,其修复成本相当于在设计阶段执行修复的30倍 。所以为了避免安全漏洞出现造成的巨大损失,软件安全方案的制定就成为了企业发展过程中的重中之重,那么如何来制定软件安全方案来确保企业内部的正常运转呢?如何确保软件安全方案是否安全?带着这些问题,我们采访了新思科技软件的质量和安全部门的高级安全架构师杨国梁先生,听了他对软件安全的深刻解释 。

众所周知,安全行业在当前的快速发展过程中,出现了需要解决的奇怪现状 。例如,业界重视攻击,忽视防守,防守人才极度不足,攻守失衡 。例如,业界重视人手,轻视自动化,大量安全工作低级重复性,效率非常低 。

【新思科技杨国梁:如何评估SSI是否有效?】这些安全问题遍布各行各业,金融、医疗、云、保险、零售等行业,为了解决安全问题,很多企业也在努力 。因此,杨国梁表示,目前所有企业都需要明确的软件安全方案来关注工作,敏捷、CI/CD或DevOps既不是软件不安全的原因,也不是解决方案,软件安全的构建需要不同的团队、不同的角色、不同的流程、不同的人群

包括新技术在内,随着容器amp等新的安全问题,微服务、供应链安全、开源安全等问题的出现,监督要求、合规要求等一切都在变化,新的脆弱性和攻击方式也不断出现,因此相对完整的软件安全方案(SSI)

企业构建的软件安全方案,如何评价SSI安全?杨国梁表示,现在越来越多的企业重视软件安全解决方案的评价和测试,自2008年以来,新思维技术共对211家企业进行了约500次BSIMM评价,这次也发表了BSIMM11,非常重视数据的新鲜度,与前10个版本相比,BSIMMM11强调从安全左移到无处不在,工程技术导向的软件安全工作成功地为实现弹性的Devops价值流的贡献力,CI/CD和Devops的广泛使用另外,软件定义安全管理不仅仅是愿望,软件化的自动化越来越多,不仅仅是人员的管理,像pipeline一样,现在软件和测试本身都成为infrastructure基础设施的构造水平 。

众所周知,新冠疫情的影响,加速了企业数字化转型的进程,大量线下业务转移到线上,对于BSIMM本身的评估方式也是有变化的,之前是现场评估,现在疫情的影响导致整个评估的工作改为了线上 。

谈到做BSIMM测试的企业,杨国梁先生表示,目前做测试的国外的企业居多,中国企业占比较少,并且行业属性比较垂直 。在这些测试行业中,云、物联网和高新技术公司是BSIMM11数据池中最成熟的三个垂直行业 。BSIMM11强调了三个受到高度监督的行业的不同:金融服务、医疗保健和保险 。金融服务行业比其他行业建立软件安全队伍更早,因此与医疗保健和保险行业相比,软件安全实践更成熟 。BSIMM首次总结了金融科技行业的数据,发现与金融服务的追踪非常接近,主要差异体现在训练、安全测试、代码审查实践中 。

访谈最后,杨国梁先生表示,在国家和各企业重视软件安全问题的情况下,BSIMM根据技术安全等问题的出现不断更新和升级,帮助企业掌握软件安全方案的现状,提供视图的可视性,测定新的软件安全方法,评价企业自身的软件安全方案策略

    推荐阅读