9月18日消息(岳明)“應(yīng)用安全是一個(gè)非常朝陽(yáng)的產(chǎn)業(yè),AIGC時(shí)代對(duì)新思科技來(lái)說(shuō)意味著機(jī)會(huì)。”新思科技中國(guó)區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛在近日于上海舉行的新思科技開(kāi)發(fā)者大會(huì)上接受C114采訪時(shí)談到。
從最新推出的新型應(yīng)用安全態(tài)勢(shì)管理(ASPM)解決方案軟件風(fēng)險(xiǎn)管理平臺(tái)(SRM),到移動(dòng)應(yīng)用安全測(cè)試(MAST)工具和服務(wù),再到針對(duì)安全開(kāi)發(fā)者的開(kāi)發(fā)人員安全培訓(xùn)(Developer Security Training)企業(yè)級(jí)敏捷學(xué)習(xí)平臺(tái),新思科技安全的解決方案產(chǎn)品組合正變得愈發(fā)豐富,從而在支撐行業(yè)構(gòu)建安全可信軟件上貢獻(xiàn)越來(lái)越大的力量。
Gartner報(bào)告指出:“應(yīng)用安全態(tài)勢(shì)管理分析軟件開(kāi)發(fā)、部署和操作過(guò)程中的安全信號(hào),以提高可見(jiàn)性、更高效地管理漏洞并實(shí)施控制。安全管理者可以使用ASPM來(lái)提升應(yīng)用安全效率并更好地管理風(fēng)險(xiǎn)。”據(jù)其預(yù)測(cè),到2026年,超過(guò)40%的開(kāi)發(fā)專有應(yīng)用的企業(yè)將采用ASPM,以快速識(shí)別和解決應(yīng)用安全問(wèn)題。
付紅勛在采訪中談到,新思科技SRM基于其Code Dx 和Intelligent Orchestration智能編排產(chǎn)品的核心技術(shù)構(gòu)建,經(jīng)過(guò)重新設(shè)計(jì)和增強(qiáng),可提供全面的ASPM解決方案。通過(guò)SRM平臺(tái),可以實(shí)現(xiàn)AppSec計(jì)劃的“三化”和“兩快”,即管理簡(jiǎn)化、風(fēng)險(xiǎn)狀態(tài)可視化、工作流程標(biāo)準(zhǔn)化和快速確定風(fēng)險(xiǎn)優(yōu)先級(jí)、快速同步業(yè)界最佳應(yīng)用安全測(cè)試(AST)能力。
“現(xiàn)在已經(jīng)是移動(dòng)的世界了,安全和隱私問(wèn)題如影隨形。”他表示,針對(duì)此,新思科技推出了移動(dòng)應(yīng)用安全測(cè)試(MAST)工具和服務(wù),可以通過(guò)對(duì)Android和iOS二進(jìn)制文件進(jìn)行快速、自動(dòng)化和語(yǔ)言化的靜態(tài)、動(dòng)態(tài)、交互式和API安全測(cè)試,提供廣泛的測(cè)試覆蓋。MAST允許開(kāi)發(fā)和安全團(tuán)隊(duì)分析移動(dòng)應(yīng)用的組件,包括開(kāi)源組件、第三方SDK以及可傳遞依賴項(xiàng),并可將基于標(biāo)準(zhǔn)的自動(dòng)化安全測(cè)試集成到CI/CD。
值得一提的是,作為OPPO終端可信工程的行業(yè)伙伴,新思科技為OPPO提供了應(yīng)用安全管理產(chǎn)品和服務(wù),包括軟件安全構(gòu)建成熟度模型(BSIMM)評(píng)估,助力OPPO落實(shí)數(shù)字化可信工程。新思科技已經(jīng)連續(xù)三年榮膺OPPO合作伙伴類大獎(jiǎng)。
OPPO終端安全領(lǐng)域總經(jīng)理王安宇在接受采訪時(shí)表示,OPPO長(zhǎng)期以來(lái)非常注重包括軟件在內(nèi)的整體安全體系構(gòu)建。“我們提出了‘可信’概念,并構(gòu)建了4層數(shù)字化的可信框架。從基礎(chǔ)層到能力層,到業(yè)務(wù)、APP、數(shù)據(jù)、整機(jī)、芯片,然后在最上層目標(biāo)是隱私、合規(guī)、透明,希望構(gòu)筑一種‘數(shù)字化的可信’。”他談到,從軟件的需求、到設(shè)計(jì)、實(shí)施、測(cè)試、發(fā)布的各個(gè)環(huán)節(jié),OPPO都會(huì)引入業(yè)界的最佳實(shí)踐、工具和能力,然后去構(gòu)筑OPPO的研發(fā)安全生命周期的流程和能力。
在最佳實(shí)踐方面,OPPO采用了新思科技的BSIMM評(píng)估,基于這一國(guó)際上權(quán)威的組織安全成熟度評(píng)估體系雷達(dá)圖識(shí)別企業(yè)自身在軟件安全能力上可改進(jìn)之處,然后再基于改進(jìn)產(chǎn)生的價(jià)值定義優(yōu)先級(jí),更好地去建設(shè)整個(gè)企業(yè)的安全合規(guī)的體系。
“新思科技在我們整個(gè)閉環(huán)的軟件安全解決方案里,給了OPPO很多支持。包括SCA(軟件組成分析)和Pen Test(滲透測(cè)試)等,同時(shí)還有SAST(靜態(tài)應(yīng)用安全分析)等其它的工具和最佳實(shí)踐,共同落到我們整個(gè)的流程和體系里面,然后形成一個(gè)閉環(huán)的、可改進(jìn)的軟件安全的解決方案。這是OPPO和新思科技在軟件安全方面的一些探索。”王安宇說(shuō)到。
面對(duì)以AIGC為代表的新一輪人工智能浪潮,付紅勛認(rèn)為這對(duì)新思科技意味著更大的機(jī)會(huì)。他指出,“新思科技更擅長(zhǎng)于做的是檢測(cè)深層次的代碼里的安全隱患或者特殊的質(zhì)量隱患。我們不是做一個(gè)簡(jiǎn)單的代碼嗅探,我認(rèn)為在AIGC的年代反而是新思科技的機(jī)會(huì)。另外,我們有一些能夠幫助客戶發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞的工具和服務(wù),比如我們的DAST(動(dòng)態(tài)應(yīng)用安全測(cè)試)服務(wù)和Seeker。今后是AIGC生成代碼的時(shí)代,有一些安全隱患普通的工具很難觸及到,而這正是我們這些產(chǎn)品的優(yōu)勢(shì)。”
此外,他表示AIGC時(shí)代的另一個(gè)機(jī)會(huì)在于,“開(kāi)源代碼片段會(huì)不斷地加到AIGC生成的代碼里。因?yàn)槲覀兘o大模型的這些訓(xùn)練輸入,它會(huì)變成一點(diǎn)一點(diǎn)的片段,可能沒(méi)有完整地引用某一大段代碼,但可能會(huì)運(yùn)用某個(gè)組件的某幾行,這些片段的檢測(cè)將會(huì)變得非常麻煩。這也正好是新思科技Black Duck非常著名的一個(gè)特性,那就是代碼片段掃描。”
據(jù)介紹,Black Duck是一款軟件組成分析工具,可提供對(duì)第三方開(kāi)源代碼的可見(jiàn)性,從而能夠在整個(gè)軟件開(kāi)發(fā)周期中管理軟件供應(yīng)鏈。當(dāng)檢測(cè)到安全風(fēng)險(xiǎn)時(shí),Black Duck Security Advisories (BDSA) 會(huì)借助新思科技的KnowledgeBase(目前業(yè)界最全的開(kāi)源項(xiàng)目、許可證和安全信息數(shù)據(jù)庫(kù)),提供必要的信息,幫助企業(yè)掌握漏洞信息、確定優(yōu)先級(jí)別和進(jìn)行修復(fù)。
正如新思科技在一篇新聞稿中寫(xiě)到的,企業(yè)現(xiàn)在越來(lái)越意識(shí)到軟件風(fēng)險(xiǎn)等同于業(yè)務(wù)風(fēng)險(xiǎn),可擴(kuò)展的應(yīng)用安全計(jì)劃對(duì)于高效管理軟件風(fēng)險(xiǎn)至關(guān)重要。隨著安全威脅形勢(shì)加劇,企業(yè)更加需要簡(jiǎn)化測(cè)試、分類和風(fēng)險(xiǎn)管理,以滿足業(yè)務(wù)需要的速度管理軟件安全。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 涉嫌違反限制性規(guī)定轉(zhuǎn)讓股票等行為 新易盛實(shí)控人、董事長(zhǎng)高光榮被立案調(diào)查
- 天音移動(dòng):將100個(gè)虛商號(hào)段交還中國(guó)聯(lián)通
- 長(zhǎng)沙電信員工反映加班嚴(yán)重 公司回應(yīng):避免無(wú)謂加班
- 中國(guó)移動(dòng)11月5G網(wǎng)絡(luò)客戶凈增143萬(wàn)戶,累計(jì)達(dá)5.47億戶
- 5G-A無(wú)源物聯(lián):夯實(shí)數(shù)字化底座,助力萬(wàn)物智聯(lián)發(fā)展
- Wi-Fi7:6GHzWi-Fi如何支持醫(yī)療保健新時(shí)代
- 未來(lái)最值得關(guān)注的人工智能和機(jī)器學(xué)習(xí)趨勢(shì)是什么?
- 物聯(lián)網(wǎng)實(shí)現(xiàn)智能農(nóng)業(yè)的五大方式
- 人工智能在網(wǎng)絡(luò)安全中的作用
- 光迅科技:自研光芯片沒(méi)有直接對(duì)外銷售,主要滿足自用需求
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。