不穩定性已經成為了新常態,而且網絡安全挑戰仍然持續存在。一方面新技術不斷涌現,應用場景更加多元化;另一方面,安全威脅相伴相生,甚至其中一些安全問題會爆發在令人意想不到的領域。很多企業都在加強對軟件安全和技術供應鏈的審查。在新的一年到來之際,新思科技與大家分享觀察到的新興趨勢,希望能幫助企業在推進軟件安全計劃時做出更加明智的決策。
1.人工智能驅動系統的安全性成為開發和安全團隊的重要實踐
新思科技軟件質量與安全部門總經理Jason Schmitt表示:“人工智能已從一項有前景的技術迅速發展成為 IT 和消費等幾乎所有領域的主流。因此,人工智能驅動系統的安全性將成為開發和安全團隊的另一個重要目標,因為他們了解針對人工智能的算法操作的性質和范圍。”
2.軟件的透明度將增強
隨著供應鏈攻擊越來越嚴重,大家對軟件物料清單(SBOM)的關注度也有所提升。根據最新版本的軟件安全構建成熟度模型(BSIMM)——BSIMM12,在過去24個月,軟件物料清單活動增加了 367%。
新思科技首席科學家Sammy Migues表示:“2022年,更多企業希望掌握他們的軟件有哪些組件。企業將要求供應商說明應用和設備中的所有軟件、軟件來源、軟件如何構建和測試以及維護。”
3.企業逐漸意識到AppSec是風險管理的關鍵
過去,AppSec 被視為業務進展的障礙。 現在,企業開始意識到 AppSec 與構建、部署和運行軟件的方式密不可分。
新思科技高級安全策略師Jonathan Knudsen表示:“企業開始認識到 AppSec 是風險管理的關鍵部分,并且正確實施 AppSec 計劃會帶來商業利益。 成功的 AppSec 意味著更少的軟件漏洞,這意味著更低的風險,生產力以及客戶滿意度也會更高。”
另外,在 AppSec 領域,企業一直在采用靜態分析工具、交互式應用安全測試工具和軟件組成分析工具等,以期快速做出決策并培養DevSecOps文化。企業不想浪費開發人員的時間來梳理大量重復的缺陷信息,或修復不可利用的缺陷。 因此,整合來自多個工具的結果并提供優先級的缺陷列表將成為優先事項。
4.云安全策略日益成熟,容器編排技術持續增加
在未來一年,網絡安全意識培訓對于各種形式和規模的企業預防網絡攻擊仍然至關重要。
新思科技軟件質量與安全部門安全工程師Amit Sharma表示:“隨著越來越多企業采用云解決方案,云安全策略將在未來幾個月到幾年內日益成熟。自動化和配置可以有助于保護云端的敏感數據。我們將看到 Kubernetes 等編排技術的使用持續增加,并且對容器和 Kubernetes 安全解決方案的需求也會增加。”
5.基礎設施即代碼在亞太區的采用速度將進一步加快
新思科技軟件質量與安全部門亞太區客戶服務總監Ian Hall表示:“基礎設施即代碼已經存在多年,但亞太地區的采用速度相比其它地區較慢,預計這種情況將在 2022 年發生變化。現在,基礎設施即代碼與云原生架構都已經是常態化。因此,企業將需要重新審視已實施的安全計劃,以防在遷移到新架構時,以往的策略變得沒有效用。 這些技術變革意味著需要對員工加強培訓,以便他們具備有效支持和保護系統所需的技能。”
6.更多汽車行業網絡安全標準將出臺
2021年,許多汽車行業網絡安全標準出臺,包括 ISO/SAE 21434、Automotive SPICE for Cyber??security和TR-68:3。專注于開源軟件安全性的OpenChain ISO 5230也已發布。此外,還有更多相關的標準正在制定,包括ISO 5112、ISO/SAE 8475及 ISO/SAE 8477等。所有這些不同的標準和技術參考為汽車行業提供指導,以制造更安全的汽車。
新思科技首席汽車安全策略師Dennis Kengo Oka博士表示:“2022 年,我們將看到汽車行業繼續采用以上這些標準和技術參考。主要活動包括建立新的網絡安全政策和流程、雇用安全人員并分配網絡安全角色和職責,以及在企業中開展網絡安全活動。我們還期待看到更簡化的工作流程。”
7.軟件安全合規需求持續增加
中國在2021年陸續頒布的《數據安全法》和《個人信息保護法》,有助于規范數據處理活動,保障數據安全,以及更加有效地保護個人隱私。
新思科技中國區軟件應用安全技術總監楊國梁表示:“最近幾年,全球各地都陸續推出數據保護有關的法律法規。軟件企業在合規方面的投入也在加大。在BSIMM12報告中,77%的受訪者表示已經將合規約束轉變為需求。這有助于提高審計時的可追溯性和可視性。在未來,合規在軟件質量與安全管理中重要性將越來越高。”
推進數字化轉型,才能真正賦能高質量發展。現在,數字化轉型已經成為中國乃至全球各大產業的必答題。這離不開軟件的驅動和應用。因此,軟件是否安全直接關乎到數字化轉型的成功與否。無論是為了提升效率,還是為了合規,軟件安全不可忽視;無論是企業,還是消費者,對軟件安全的關注度只會有增無減。
京公網安備 11010502049343號