近日,在TiD2018質(zhì)量競爭力大會(huì )上,新思科技軟件質(zhì)量與安全部門(mén)進(jìn)行了一項問(wèn)卷調查,受訪(fǎng)對象是來(lái)自電信、金融、保險、汽車(chē)和科技等多個(gè)領(lǐng)域的軟件專(zhuān)業(yè)人士。TiD2018于七月中舉行,是軟件行業(yè)的領(lǐng)先峰會(huì )。
該份調查指出30%的企業(yè)依靠開(kāi)發(fā)團隊檢測軟件安全漏洞。為了滿(mǎn)足市場(chǎng)需求,軟件開(kāi)發(fā)商需要更快地將產(chǎn)品推出市場(chǎng)才能保持競爭力。這意味著(zhù)開(kāi)發(fā)團隊要在縮短軟件研發(fā)時(shí)間的同時(shí)也要確保安全性。要實(shí)現這一點(diǎn)有很大的挑戰。
本次共收集了293份有效問(wèn)卷,主要發(fā)現如下:
- 在軟件安全方面,目前最迫切需要解決的問(wèn)題:提升軟件質(zhì)量(44%);軟件安全性(28%);創(chuàng )新功能(11%);按時(shí)交付產(chǎn)品(10%);合規性(6%);其它(1%)。
- 實(shí)施SSI的最大挑戰:缺乏熟練的專(zhuān)業(yè)人才或培訓(67%);預算限制(22%);不需要SSI(7%) 。
- 如何開(kāi)展應用安全計劃:擁有負責應用安全的內部團隊或專(zhuān)門(mén)的安全計劃(62%);第三方供應商負責評估應用安全和執行安全計劃(11%);綜合以上兩項(14%);沒(méi)有正式的應用安全計劃(13%)。
- 誰(shuí)負責測試軟件的安全漏洞:開(kāi)發(fā)團隊(30%); IT安全團隊(27%);質(zhì)量保證團隊(25%);產(chǎn)品安全團隊(14%);多團隊合作(4%)。
- 哪種類(lèi)型的漏洞帶來(lái)最嚴重的安全風(fēng)險:企業(yè)自己開(kāi)發(fā)的專(zhuān)有代碼中的應用程序漏洞(40%);企業(yè)委托的第三方供應商所開(kāi)發(fā)的專(zhuān)有代碼中的應用程序漏洞(30%);企業(yè)開(kāi)發(fā)或使用的開(kāi)源軟件組件中存在的漏洞(30%)。
新思科技軟件質(zhì)量與安全部門(mén)高級安全架構師楊國梁表示:“這份調查結果貼切地反映了現在軟件開(kāi)發(fā)團隊面臨的兩難困境,一方面需要盡快開(kāi)發(fā)出來(lái)新的軟件解決方案;另一方面也要確保產(chǎn)品的安全性和穩健性。這兩項任務(wù)都需要時(shí)間和資源配合。一旦遇到人員流動(dòng)的時(shí)候,開(kāi)發(fā)團隊更雪上加霜。因此,它們需要像新思科技這樣的企業(yè)提供專(zhuān)業(yè)的軟件質(zhì)量與安全服務(wù)。”
楊國梁介紹道:“新思科技軟件質(zhì)量與安全部門(mén)提供全方位的管理和專(zhuān)業(yè)服務(wù)、產(chǎn)品和培訓。我們可以根據客戶(hù)的具體需求定制軟件安全計劃。我們致力于在整個(gè)軟件開(kāi)發(fā)周期中提供支持,助力企業(yè)更加迅速地構建安全、高質(zhì)量的軟件。”
新思科技軟件質(zhì)量與安全部門(mén)的調查問(wèn)卷還發(fā)現了企業(yè)目前正在尋求哪些軟件應用測試解決方案:靜態(tài)分析/靜態(tài)應用安全測試(49%);架構風(fēng)險分析/威脅建模(47%);動(dòng)態(tài)分析/動(dòng)態(tài)應用安全測試(38%);交互式應用安全測試(30%);第三方滲透測試(24%);軟件組成分析(21%);模糊測試(14%)。
