新思科技:群策群力构建可信软件

发布时间:2023-10-09  

注入新力量,力争安全态势可控、移动安全可及、安全开发可行


现在,人们生活和工作的世界与互联网甚至物联网空间融合得越来越紧密,安全既是防线又是底线。新思科技指出,为了让安全成为数字时代的基本供给,相关行业需要群策群力,为软件安全产业源源不断地注入新力量。


新思科技中国区应用安全技术总监付红勋表示:“软件安全是一个朝阳产业,因为现在世界基本上由软件定义。软件是数字化转型的载体。当然,软件和安全是相伴相生的。如果安全不到位,就会带来相应的损失。而且,损失未必是财务上的,还有可能造成企业声誉受损,导致不可估量的负面影响。如何去确保安全,构建可信软件?新思科技认为可以从三个领域注入新力量,包括安全态势、移动安全以及研发人员。”


安全态势可控


安全已经是产业发展的必修课,各大企业也已经部署应用安全(AppSec)计划。但成效如何?新思科技观察到,很多企业的AppSec计划面临着“三低两难”。


 投资回报率低。工具、人员和维护成本高昂,但仍无法充分保障软件安全;

 软件风险判断的准确率低。无法审核和查明最易受攻击的软件,从而导致合规性变得困难;

 安全活动速度低。安全活动拖慢了产品交付速度,无法满足客户的服务水平协议(SLA)。无法保持业务连续性;

 难以有效管理AppSec策略。很难标准化所有生产级代码、内部代码和第三方代码的质量标准;

 难以优先考虑关键工作。过多的误报和冗余活动正在降低生产力。


为了帮助业界应对以上挑战,新思科技近期推出了全新软件风险管理平台(SRM)。该平台是一种应用安全态势管理(ASPM)解决方案,内置了新思科技广受认可的Coverity静态应用安全分析和Black Duck软件组成分析,帮助用户以“三化两快”化解“三低两难”。


 管理简化。统一新的和现有安全工具的结果,与 135多商业及OSS的 DevOps 和 AppSec 工具集成;

 风险状态可视化。将违规情况映射到相应发现,直至代码行;

 工作流程标准化。定义和管理策略以编排测试、分类和修复;

 快速确定风险优先级。直接向开发人员上报严重缺陷;

 快速同步业界最佳应用安全测试(AST)能力。利用SAST和SCA的内置引擎快速展开核心测试。


Gartner 预测,到2026年,超过40%的开发专有应用的企业将采用应用安全态势管理(ASPM),以快速识别和解决应用安全问题。


移动安全可及


手机已经不仅仅是移动硬件设备,而是承载着更多软件应用,覆盖家居、娱乐、出行、支付、会议等方方面面。移动安全可谓牵一发而动全身。


那么,移动安全的难点在哪?既要全面,又要快速。移动端App语言多样,包括Kotlin、Java、Swift、Objective-C等等。这就要求综合运用全面的测试技术,比如SAST、DAST或者IAST。而且,企业希望这些测试技术不仅能自动化运行、与CI/CD管道集成、快速发现问题并且指导开发修复问题。


新思科技深知行业痛点,推出移动应用安全测试(MAST),并联合行业伙伴力量不断精进。最近,新思科技与移动安全和隐私专家NowSecure合作,为业界提供更快速、更全面的移动应用安全测试。得益于此,用户可以获得三方面的裨益:第一, APP发布越来越快;第二,能够快速地把发现的风险,甚至漏洞修补掉;第三,其客户能够得到可信的移动应用。


作为智能终端制造商和移动互联网服务提供商,OPPO意识到安全和隐私是智慧生态系统不可分割的一部分,并提出了“可信”的概念,这与新思科技不谋而合。


OPPO终端安全领域总经理王安宇表示:“我们将消费者、监管机构以及行业的诉求都映射到内部的产品和研发的安全和隐私要求,同时与行业著名厂商、上下游合作伙伴等共同去规划、实施、持续改进安全计划。新思科技是OPPO长期的安全合作伙伴,提供软件安全成熟度和能力提升、SCA代码质量分析和产品安全质量验证等综合产品和服务,与我们携手构建闭环的软件安全解决方案,在探索功能创新的同时,也为消费者交付可信的产品。”


安全开发可行


软件安全归根结底很大程度上取决于安全的开发。因此,对开发人员进行系统、全面的培训至关重要。然而,此类培训通常会比较枯燥,又难以和现实业务场景挂钩,使得开发人员兴趣不大。


为此,新思科技对症下药,完善了开发人员安全培训(Developer Security Training)平台,帮助开发人员提高安全能力,同时提供简化的方法,将整个企业的安全实践标准化。该企业级敏捷学习平台提供8,000多种学习活动,培训内容跨越60多种编码语言和开发框架,并且数量不断增长。而且,该平台支持8种语言,包括简体中文。


付红勋总结道,在这个软件定义世界、软件改变世界的时代,安全问题变得非常凸显,包括漏洞、版权、运维等各个方面的风险。每个行业面临的软件安全风险有共性也有特性,但总的来说,各行各业都不能独善其身,主动防御和联合生态圈力量才能发挥协同效应,持续构建和交付安全、可信的产品,激发产业创新活力,行稳致远。


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>