新思科技：2022年軟件安全行業(yè)七大趨勢預(yù)測

近兩年，全球網(wǎng)絡(luò)安全威脅愈加復(fù)雜化，攻擊手段多變，造成的經(jīng)濟(jì)損失不可估量。網(wǎng)絡(luò)安全已經(jīng)成為全球企業(yè)和政府共同面對的棘手問題之一。

不穩(wěn)定性已經(jīng)成為了新常態(tài)，而且網(wǎng)絡(luò)安全挑戰(zhàn)仍然持續(xù)存在。一方面新技術(shù)不斷涌現(xiàn)，應(yīng)用場景更加多元化；另一方面，安全威脅相伴相生，甚至其中一些安全問題會(huì)爆發(fā)在令人意想不到的領(lǐng)域。很多企業(yè)都在加強(qiáng)對軟件安全和技術(shù)供應(yīng)鏈的審查。在新的一年到來之際，新思科技與大家分享觀察到的新興趨勢，希望能幫助企業(yè)在推進(jìn)軟件安全計(jì)劃時(shí)做出更加明智的決策。

1.     人工智能驅(qū)動(dòng)系統(tǒng)的安全性成為開發(fā)和安全團(tuán)隊(duì)的重要實(shí)踐

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示：“人工智能已從一項(xiàng)有前景的技術(shù)迅速發(fā)展成為 IT 和消費(fèi)等幾乎所有領(lǐng)域的主流。因此，人工智能驅(qū)動(dòng)系統(tǒng)的安全性將成為開發(fā)和安全團(tuán)隊(duì)的另一個(gè)重要目標(biāo)，因?yàn)樗麄兞私忉槍θ斯ぶ悄艿乃惴ú僮鞯男再|(zhì)和范圍?！?/p>

2.     軟件的透明度將增強(qiáng)

隨著供應(yīng)鏈攻擊越來越嚴(yán)重，大家對軟件物料清單(SBOM)的關(guān)注度也有所提升。根據(jù)最新版本的軟件安全構(gòu)建成熟度模型(BSIMM)——BSIMM12，在過去24個(gè)月，軟件物料清單活動(dòng)增加了 367%。

新思科技首席科學(xué)家Sammy Migues表示：“2022年，更多企業(yè)希望掌握他們的軟件有哪些組件。企業(yè)將要求供應(yīng)商說明應(yīng)用和設(shè)備中的所有軟件、軟件來源、軟件如何構(gòu)建和測試以及維護(hù)?！?/p>

3.     企業(yè)逐漸意識(shí)到AppSec是風(fēng)險(xiǎn)管理的關(guān)鍵

過去，AppSec 被視為業(yè)務(wù)進(jìn)展的障礙。 現(xiàn)在，企業(yè)開始意識(shí)到 AppSec 與構(gòu)建、部署和運(yùn)行軟件的方式密不可分。             

新思科技高級(jí)安全策略師Jonathan Knudsen表示：“企業(yè)開始認(rèn)識(shí)到 AppSec 是風(fēng)險(xiǎn)管理的關(guān)鍵部分，并且正確實(shí)施 AppSec 計(jì)劃會(huì)帶來商業(yè)利益。 成功的 AppSec 意味著更少的軟件漏洞，這意味著更低的風(fēng)險(xiǎn)，生產(chǎn)力以及客戶滿意度也會(huì)更高?！?/p>

另外，在 AppSec 領(lǐng)域，企業(yè)一直在采用靜態(tài)分析工具、交互式應(yīng)用安全測試工具和軟件組成分析工具等，以期快速做出決策并培養(yǎng)DevSecOps文化。企業(yè)不想浪費(fèi)開發(fā)人員的時(shí)間來梳理大量重復(fù)的缺陷信息，或修復(fù)不可利用的缺陷。 因此，整合來自多個(gè)工具的結(jié)果并提供優(yōu)先級(jí)的缺陷列表將成為優(yōu)先事項(xiàng)。

4.     云安全策略日益成熟，容器編排技術(shù)持續(xù)增加

在未來一年，網(wǎng)絡(luò)安全意識(shí)培訓(xùn)對于各種形式和規(guī)模的企業(yè)預(yù)防網(wǎng)絡(luò)攻擊仍然至關(guān)重要。

新思科技軟件質(zhì)量與安全部門安全工程師Amit Sharma表示：“隨著越來越多企業(yè)采用云解決方案，云安全策略將在未來幾個(gè)月到幾年內(nèi)日益成熟。自動(dòng)化和配置可以有助于保護(hù)云端的敏感數(shù)據(jù)。我們將看到 Kubernetes 等編排技術(shù)的使用持續(xù)增加，并且對容器和 Kubernetes 安全解決方案的需求也會(huì)增加?！?/p>

5.     基礎(chǔ)設(shè)施即代碼在亞太區(qū)的采用速度將進(jìn)一步加快

新思科技軟件質(zhì)量與安全部門亞太區(qū)客戶服務(wù)總監(jiān)Ian Hall表示：“基礎(chǔ)設(shè)施即代碼已經(jīng)存在多年，但亞太地區(qū)的采用速度相比其它地區(qū)較慢，預(yù)計(jì)這種情況將在 2022 年發(fā)生變化。現(xiàn)在，基礎(chǔ)設(shè)施即代碼與云原生架構(gòu)都已經(jīng)是常態(tài)化。因此，企業(yè)將需要重新審視已實(shí)施的安全計(jì)劃，以防在遷移到新架構(gòu)時(shí)，以往的策略變得沒有效用。 這些技術(shù)變革意味著需要對員工加強(qiáng)培訓(xùn)，以便他們具備有效支持和保護(hù)系統(tǒng)所需的技能?！?/p>

6.     更多汽車行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將出臺(tái)

2021年，許多汽車行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)出臺(tái)，包括 ISO/SAE 21434、Automotive SPICE for Cybersecurity和TR-68:3。專注于開源軟件安全性的OpenChain ISO 5230也已發(fā)布。此外，還有更多相關(guān)的標(biāo)準(zhǔn)正在制定，包括ISO 5112、ISO/SAE 8475及 ISO/SAE 8477等。所有這些不同的標(biāo)準(zhǔn)和技術(shù)參考為汽車行業(yè)提供指導(dǎo)，以制造更安全的汽車。

新思科技首席汽車安全策略師Dennis Kengo Oka博士表示：“2022 年，我們將看到汽車行業(yè)繼續(xù)采用以上這些標(biāo)準(zhǔn)和技術(shù)參考。主要活動(dòng)包括建立新的網(wǎng)絡(luò)安全政策和流程、雇用安全人員并分配網(wǎng)絡(luò)安全角色和職責(zé)，以及在企業(yè)中開展網(wǎng)絡(luò)安全活動(dòng)。我們還期待看到更簡化的工作流程?！?/p>

7.     軟件安全合規(guī)需求持續(xù)增加

中國在2021年陸續(xù)頒布的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，有助于規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，以及更加有效地保護(hù)個(gè)人隱私。

新思科技中國區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國梁表示：“最近幾年，全球各地都陸續(xù)推出數(shù)據(jù)保護(hù)有關(guān)的法律法規(guī)。軟件企業(yè)在合規(guī)方面的投入也在加大。在BSIMM12報(bào)告中，77%的受訪者表示已經(jīng)將合規(guī)約束轉(zhuǎn)變?yōu)樾枨?。這有助于提高審計(jì)時(shí)的可追溯性和可視性。在未來，合規(guī)在軟件質(zhì)量與安全管理中重要性將越來越高?！?/p>

推進(jìn)數(shù)字化轉(zhuǎn)型，才能真正賦能高質(zhì)量發(fā)展?，F(xiàn)在，數(shù)字化轉(zhuǎn)型已經(jīng)成為中國乃至全球各大產(chǎn)業(yè)的必答題。這離不開軟件的驅(qū)動(dòng)和應(yīng)用。因此，軟件是否安全直接關(guān)乎到數(shù)字化轉(zhuǎn)型的成功與否。無論是為了提升效率，還是為了合規(guī)，軟件安全不可忽視；無論是企業(yè)，還是消費(fèi)者，對軟件安全的關(guān)注度只會(huì)有增無減。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。