新思科技付紅勛：AIGC時代帶來更大應用安全機會

9月18日消息（岳明）“應用安全是一個非常朝陽的產業(yè)，AIGC時代對新思科技來說意味著機會。”新思科技中國區(qū)應用安全技術總監(jiān)付紅勛在近日于上海舉行的新思科技開發(fā)者大會上接受C114采訪時談到。

從最新推出的新型應用安全態(tài)勢管理（ASPM）解決方案軟件風險管理平臺（SRM），到移動應用安全測試（MAST）工具和服務，再到針對安全開發(fā)者的開發(fā)人員安全培訓（Developer Security Training）企業(yè)級敏捷學習平臺，新思科技安全的解決方案產品組合正變得愈發(fā)豐富，從而在支撐行業(yè)構建安全可信軟件上貢獻越來越大的力量。

Gartner報告指出：“應用安全態(tài)勢管理分析軟件開發(fā)、部署和操作過程中的安全信號，以提高可見性、更高效地管理漏洞并實施控制。安全管理者可以使用ASPM來提升應用安全效率并更好地管理風險。”據其預測，到2026年，超過40%的開發(fā)專有應用的企業(yè)將采用ASPM，以快速識別和解決應用安全問題。

付紅勛在采訪中談到，新思科技SRM基于其Code Dx 和Intelligent Orchestration智能編排產品的核心技術構建，經過重新設計和增強，可提供全面的ASPM解決方案。通過SRM平臺，可以實現AppSec計劃的“三化”和“兩快”，即管理簡化、風險狀態(tài)可視化、工作流程標準化和快速確定風險優(yōu)先級、快速同步業(yè)界最佳應用安全測試（AST）能力。

“現在已經是移動的世界了，安全和隱私問題如影隨形。”他表示，針對此，新思科技推出了移動應用安全測試（MAST）工具和服務，可以通過對Android和iOS二進制文件進行快速、自動化和語言化的靜態(tài)、動態(tài)、交互式和API安全測試，提供廣泛的測試覆蓋。MAST允許開發(fā)和安全團隊分析移動應用的組件，包括開源組件、第三方SDK以及可傳遞依賴項，并可將基于標準的自動化安全測試集成到CI/CD。

值得一提的是，作為OPPO終端可信工程的行業(yè)伙伴，新思科技為OPPO提供了應用安全管理產品和服務，包括軟件安全構建成熟度模型（BSIMM）評估，助力OPPO落實數字化可信工程。新思科技已經連續(xù)三年榮膺OPPO合作伙伴類大獎。

OPPO終端安全領域總經理王安宇在接受采訪時表示，OPPO長期以來非常注重包括軟件在內的整體安全體系構建。“我們提出了‘可信’概念，并構建了4層數字化的可信框架。從基礎層到能力層，到業(yè)務、APP、數據、整機、芯片，然后在最上層目標是隱私、合規(guī)、透明，希望構筑一種‘數字化的可信’。”他談到，從軟件的需求、到設計、實施、測試、發(fā)布的各個環(huán)節(jié)，OPPO都會引入業(yè)界的最佳實踐、工具和能力，然后去構筑OPPO的研發(fā)安全生命周期的流程和能力。

在最佳實踐方面，OPPO采用了新思科技的BSIMM評估，基于這一國際上權威的組織安全成熟度評估體系雷達圖識別企業(yè)自身在軟件安全能力上可改進之處，然后再基于改進產生的價值定義優(yōu)先級，更好地去建設整個企業(yè)的安全合規(guī)的體系。

“新思科技在我們整個閉環(huán)的軟件安全解決方案里，給了OPPO很多支持。包括SCA（軟件組成分析）和Pen Test（滲透測試）等，同時還有SAST（靜態(tài)應用安全分析）等其它的工具和最佳實踐，共同落到我們整個的流程和體系里面，然后形成一個閉環(huán)的、可改進的軟件安全的解決方案。這是OPPO和新思科技在軟件安全方面的一些探索。”王安宇說到。

面對以AIGC為代表的新一輪人工智能浪潮，付紅勛認為這對新思科技意味著更大的機會。他指出，“新思科技更擅長于做的是檢測深層次的代碼里的安全隱患或者特殊的質量隱患。我們不是做一個簡單的代碼嗅探，我認為在AIGC的年代反而是新思科技的機會。另外，我們有一些能夠幫助客戶發(fā)現業(yè)務邏輯漏洞的工具和服務，比如我們的DAST（動態(tài)應用安全測試）服務和Seeker。今后是AIGC生成代碼的時代，有一些安全隱患普通的工具很難觸及到，而這正是我們這些產品的優(yōu)勢。”

此外，他表示AIGC時代的另一個機會在于，“開源代碼片段會不斷地加到AIGC生成的代碼里。因為我們給大模型的這些訓練輸入，它會變成一點一點的片段，可能沒有完整地引用某一大段代碼，但可能會運用某個組件的某幾行，這些片段的檢測將會變得非常麻煩。這也正好是新思科技Black Duck非常著名的一個特性，那就是代碼片段掃描。”

據介紹，Black Duck是一款軟件組成分析工具，可提供對第三方開源代碼的可見性，從而能夠在整個軟件開發(fā)周期中管理軟件供應鏈。當檢測到安全風險時，Black Duck Security Advisories (BDSA) 會借助新思科技的KnowledgeBase（目前業(yè)界最全的開源項目、許可證和安全信息數據庫），提供必要的信息，幫助企業(yè)掌握漏洞信息、確定優(yōu)先級別和進行修復。

正如新思科技在一篇新聞稿中寫到的，企業(yè)現在越來越意識到軟件風險等同于業(yè)務風險，可擴展的應用安全計劃對于高效管理軟件風險至關重要。隨著安全威脅形勢加劇，企業(yè)更加需要簡化測試、分類和風險管理，以滿足業(yè)務需要的速度管理軟件安全。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。