不穩定性已經(jīng)成為了新常態(tài)，而且網(wǎng)絡(luò )安全挑戰仍然持續存在。一方面新技術(shù)不斷涌現，應用場(chǎng)景更加多元化；另一方面，安全威脅相伴相生，甚至其中一些安全問(wèn)題會(huì )爆發(fā)在令人意想不到的領(lǐng)域。很多企業(yè)都在加強對軟件安全和技術(shù)供應鏈的審查。在新的一年到來(lái)之際，新思科技與大家分享觀(guān)察到的新興趨勢，希望能幫助企業(yè)在推進(jìn)軟件安全計劃時(shí)做出更加明智的決策。

　　新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Jason Schmitt表示：“人工智能已從一項有前景的技術(shù)迅速發(fā)展成為 IT 和消費等幾乎所有領(lǐng)域的主流。因此，人工智能驅動(dòng)系統的安全性將成為開(kāi)發(fā)和安全團隊的另一個(gè)重要目標，因為他們了解針對人工智能的算法操作的性質(zhì)和范圍。”

　　隨著(zhù)供應鏈攻擊越來(lái)越嚴重，大家對軟件物料清單(SBOM)的關(guān)注度也有所提升。根據最新版本的軟件安全構建成熟度模型(BSIMM)--BSIMM12，在過(guò)去24個(gè)月，軟件物料清單活動(dòng)增加了 367%。

　　新思科技首席科學(xué)家Sammy Migues表示：“2022年，更多企業(yè)希望掌握他們的軟件有哪些組件。企業(yè)將要求供應商說(shuō)明應用和設備中的所有軟件、軟件來(lái)源、軟件如何構建和測試以及維護。”

　　過(guò)去，AppSec 被視為業(yè)務(wù)進(jìn)展的障礙。 現在，企業(yè)開(kāi)始意識到 AppSec 與構建、部署和運行軟件的方式密不可分。

　　新思科技高級安全策略師Jonathan Knudsen表示：“企業(yè)開(kāi)始認識到 AppSec 是風(fēng)險管理的關(guān)鍵部分，并且正確實(shí)施 AppSec 計劃會(huì )帶來(lái)商業(yè)利益。 成功的 AppSec 意味著(zhù)更少的軟件漏洞，這意味著(zhù)更低的風(fēng)險，生產(chǎn)力以及客戶(hù)滿(mǎn)意度也會(huì )更高。”

　　另外，在 AppSec 領(lǐng)域，企業(yè)一直在采用靜態(tài)分析工具、交互式應用安全測試工具和軟件組成分析工具等，以期快速做出決策并培養DevSecOps文化。企業(yè)不想浪費開(kāi)發(fā)人員的時(shí)間來(lái)梳理大量重復的缺陷信息，或修復不可利用的缺陷。 因此，整合來(lái)自多個(gè)工具的結果并提供優(yōu)先級的缺陷列表將成為優(yōu)先事項。

　　在未來(lái)一年，網(wǎng)絡(luò )安全意識培訓對于各種形式和規模的企業(yè)預防網(wǎng)絡(luò )攻擊仍然至關(guān)重要。

　　新思科技軟件質(zhì)量與安全部門(mén)安全工程師Amit Sharma表示：“隨著(zhù)越來(lái)越多企業(yè)采用云解決方案，云安全策略將在未來(lái)幾個(gè)月到幾年內日益成熟。自動(dòng)化和配置可以有助于保護云端的敏感數據。我們將看到 Kubernetes 等編排技術(shù)的使用持續增加，并且對容器和 Kubernetes 安全解決方案的需求也會(huì )增加。”

　　新思科技軟件質(zhì)量與安全部門(mén)亞太區客戶(hù)服務(wù)總監Ian Hall表示：“基礎設施即代碼已經(jīng)存在多年，但亞太地區的采用速度相比其它地區較慢，預計這種情況將在 2022 年發(fā)生變化。現在，基礎設施即代碼與云原生架構都已經(jīng)是常態(tài)化。因此，企業(yè)將需要重新審視已實(shí)施的安全計劃，以防在遷移到新架構時(shí)，以往的策略變得沒(méi)有效用。 這些技術(shù)變革意味著(zhù)需要對員工加強培訓，以便他們具備有效支持和保護系統所需的技能。”

　　2021年，許多汽車(chē)行業(yè)網(wǎng)絡(luò )安全標準出臺，包括 ISO/SAE 21434、Automotive SPICE for Cyber security和TR-68:3。專(zhuān)注于開(kāi)源軟件安全性的OpenChain ISO 5230也已發(fā)布。此外，還有更多相關(guān)的標準正在制定，包括ISO 5112、ISO/SAE 8475及 ISO/SAE 8477等。所有這些不同的標準和技術(shù)參考為汽車(chē)行業(yè)提供指導，以制造更安全的汽車(chē)。

　　新思科技首席汽車(chē)安全策略師Dennis Kengo Oka博士表示：“2022 年，我們將看到汽車(chē)行業(yè)繼續采用以上這些標準和技術(shù)參考。主要活動(dòng)包括建立新的網(wǎng)絡(luò )安全政策和流程、雇用安全人員并分配網(wǎng)絡(luò )安全角色和職責，以及在企業(yè)中開(kāi)展網(wǎng)絡(luò )安全活動(dòng)。我們還期待看到更簡(jiǎn)化的工作流程。”

　　中國在2021年陸續頒布的《數據安全法》和《個(gè)人信息保護法》，有助于規范數據處理活動(dòng)，保障數據安全，以及更加有效地保護個(gè)人隱私。

　　新思科技中國區軟件應用安全技術(shù)總監楊國梁表示：“最近幾年，全球各地都陸續推出數據保護有關(guān)的法律法規。軟件企業(yè)在合規方面的投入也在加大。在BSIMM12報告中，77%的受訪(fǎng)者表示已經(jīng)將合規約束轉變?yōu)樾枨蟆＿@有助于提高審計時(shí)的可追溯性和可視性。在未來(lái)，合規在軟件質(zhì)量與安全管理中重要性將越來(lái)越高。”

　　推進(jìn)數字化轉型，才能真正賦能高質(zhì)量發(fā)展。現在，數字化轉型已經(jīng)成為中國乃至全球各大產(chǎn)業(yè)的必答題。這離不開(kāi)軟件的驅動(dòng)和應用。因此，軟件是否安全直接關(guān)乎到數字化轉型的成功與否。無(wú)論是為了提升效率，還是為了合規，軟件安全不可忽視；無(wú)論是企業(yè)，還是消費者，對軟件安全的關(guān)注度只會(huì )有增無(wú)減。

　　該文章是在網(wǎng)絡(luò )安全專(zhuān)家的支持和專(zhuān)業(yè)指導下完成。他們是：新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Jason Schmitt；新思科技首席科學(xué)家Sammy Migues；新思科技高級安全策略師Jonathan Knudsen；新思科技軟件質(zhì)量與安全部門(mén)安全工程師Amit Sharma；新思科技軟件質(zhì)量與安全部門(mén)亞太區客戶(hù)服務(wù)總監Ian Hall；新思科技首席汽車(chē)安全策略師Dennis Kengo Oka博士；新思科技中國區軟件應用安全技術(shù)總監楊國梁。