新思科技關於2019年軟體安全行業的預測

近年來，雲計算、人工智慧（AI）、機器學習（ML）、物聯網（IoT）和大數據在很大程度上推動了企業運營方式的演變。值得一得的是，所有這些技術都是由軟體驅動的。有鑒於此，防止和減少軟體漏洞以維持企業健康發展至關重要。在過去的2018年，不管是軟體安全還是網路安全、信息安全都備受關注，相關的安全層出不窮。

近日，新思科技軟體質量與安全部門高級安全架構師楊國梁與媒體分享了新思科技關於2019年軟體安全行業的一些預測以及新思科技的發展計劃等。

2019年軟體安全行業預測

楊國梁表示，軟體設計和標準的安全性亟待規範。現在大部分軟體仍然主要是在沒有正式標準和流程的情況下編寫的。

通常軟體開發並不是標準化、可重複的工作。現在開源軟體非常流行，未來如何保證基於開源軟體的通用構建模塊的安全是業界關注的焦點。此外，垂直領域軟體開發標準將更快出現。

因為現在軟體在行業中的重要性越來越重要，特別是那些關鍵行業，比如汽車等。我們會將更多的努力放在標準、可審計性和問責制上，金融服務、區塊鏈以及移動解決方案安全性等領域也有機會執行這樣的標準。

2019年，我們可能看到垂直市場組成聯盟，以建立更多面向特定領域的安全標準，並改善信任和互換性。其中大部分可以基於開源組件構建。

隨著經濟的增長，各大企業也面臨著新的競爭壓力。這迫使企業需要重新武裝自己。數字化如火如荼，新的雲環境也正在改變企業部署APP的方式。因此，企業需要在APP應用和軟體安全方面保持警惕。新思科技預計將會有更多投資會放在雲端安全上。此外，給員工普及應用安全和軟體安全的概念以及這方面的培訓需求也會越來越多。

現在人工智慧技術已經隨處可見，滲透到我們生活的方方面面。那AI/ML（人工智慧與機器學習）能為軟體安全和網路安全做什麼呢？網路安全很重要的一部分是數據關聯和分析。這就需要具備基於多個不同的數據源來查找單個威脅和威脅活動以及執行威脅行動者歸因的能力。

AI/ML可以通過數據建模和模式識別來提高以上過程的速度、規模和準確性。然而，很多刊出的文章都對此表示懷疑和擔憂。有的時候，企業可能會有一種安全的假象，但是事實並非如此。我們還需要更多時間和投入完善數據模型和模式識別，以確保AI/ML技術能夠有效提升軟體安全。

我們應該期待看到大公司繼續投資AI/ML技術。與此同時，宣傳AI/ML能力的初創企業也將在2019年繼續崛起。但是，可能還需要幾年時間才能完全實現AI/ML的真正願景。

在亞太地區，許多國家正在推進智慧城市和智能國家計劃。這也為新一輪的IoT網路攻擊提供了機會。不法分子可以利用數據中毒進行攻擊，其中的錯誤信息將通過部署在目標城市或全國範圍內的感測器影響決策。我們還將看到一些舊問題仍然存在：硬編碼憑證和未修補的組件，沒有良好設計的空中下載技術（OTA）更新以及持續更新策略。

此外，針對醫療和零售業的攻擊將增多，因為這些行業正在利用數據加速價值實現。企業對開發人員使用第三方應用程序編程介面（API）的敏感性提高，它是絕大多數IT企業的盲點，類似於十年前的開源使用。大多數公司都了解確保他們發布的API免受外部攻擊的重要性，但很少有公司會通過從內到外調用第三方API來跟蹤他們自己的代碼在Web服務的使用。依賴第三方服務的方式還存在其它法律和業務風險。公司還必須考慮到他們可能無意中傳遞到防火牆外的未知和不受信任來源的機密數據。

現在有許多質量和安全解決方案，每個都有自己的目的、優勢和產生的數據。可能是滲透測試、日誌監控和入侵檢測，或自動化軟體安全測試解決方案。雖然功能和技術不斷發展，但它們也會創造出更多的信息和數據點。2019年，我們需要的並不是更多數據，而是更好的決策支持。其實，關鍵是將這些數據融合在一起，以制定基於風險和業務的決策。

楊國梁說，2019年，軟體將繼續在我們的日常生活和工作中發揮越來越重要的作用。我們需要工具和支持將安全性貫穿到整個軟體開發周期、公司文化和業務流程的各個方面，從而確保公司更快地構建安全、高質量的軟體。

除了對於2019年的預測，新思科技還發布了其最新版的Coverity靜態應用安全測試（SAST）解決方案，這能幫助各類機構更快地構建安全的應用程序。Coverity最新版本解決了企業應用安全開發團隊日益增長的三大需求：可擴展性、多種編程語言和框架支持，以及全面的漏洞分析。

為企業安全團隊提供可擴展的SAST

Coverity使得企業能夠將SAST工作擴展到大型應用程序組合。最新版的Coverity包含一項名為『無需構建即獲得分析結果』的功能，使安全團隊能夠快速、容易地分析成千上萬的應用程序。安全團隊現在可以簡單地將Coverity指向源代碼項目，並在幾秒內開始分析，而無需先為每一個應用程序執行完整的構建操作。與其他SAST解決方案不同，Coverity會自動檢測項目類型，並獲取通常在構建過程中包含的從屬關係。使用這項新功能可確保分析工作的全面性，並且無需手動指明各種從屬關係。

廣泛的編程語言和框架支持

用於構建應用程序的編程語言和框架的生態系統正在擴展，因此SAST工具需要了解每一種語言和框架的操作方式才能有效。為了滿足具有不同應用程序組合的企業需求，新思科技大大擴展了Coverity的編程語言和框架覆蓋範圍。最新版的Coverity增加了對TypeScript、 .NET Core、Swift 4.1和Ruby on Rails的支持，以及針對Java、 JavaScript、C#等50多種不同框架的支持，其中包括Angular、React和 Vue。

全面的漏洞分析

Coverity分析引擎利用各種技術以不同方式來查看代碼，從而找到最具可操作性和關鍵性的安全漏洞。為了應對日益普及的框架，最新版的Coverity含大幅度改進的框架分析功能，使得用戶能夠更加準確地檢測客戶端和後端web服務的漏洞。Coverity現在還可以分析JavaScript框架模板，這是一種流行的客戶端數據綁定方式。Coverity現在可以掃描從這些模板中動態生成的HTML，以查找其他跨站點腳本漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！