新思科技剖析2022年軟件安全行業主要趨勢

2021-12-29

不穩定性已經成爲了新常态，而且網絡安全挑戰仍然持續存在。一方面新技術不斷湧現，應用場景更加多元化；另一方面，安全威脅相伴相生，甚至其中一些安全問題會爆發在令人意想不到的領域。安全能力已經躍升爲企業的核心競争力。很多企業都在尋求可靠的安全廠商，提供安全技術和搭建戰略框架，并加強對軟件安全和技術供應鏈的審查。

在新的一年到來之際，新思科技與大家分享觀察到的新興趨勢，希望能幫助企業在推進軟件安全計劃時做出更加明智的決策。

1. 人工智能驅動系統的安全性成爲開發和安全團隊的重要實踐

新思科技軟件質量與安全部門總經理Jason Schmitt表示：“人工智能已從一項有前景的技術迅速發展成爲 IT 和消費等幾乎所有領域的主流。因此，人工智能驅動系統的安全性将成爲開發和安全團隊的另一個重要目标，因爲他們了解針對人工智能的算法操作的性質和範圍。”

2. 軟件的透明度将增強

随着供應鏈攻擊越來越嚴重，大家對軟件物料清單(SBOM)的關注度也有所提升。根據最新版本的軟件安全構建成熟度模型(BSIMM)——BSIMM12，在過去24個月，軟件物料清單活動增加了 367%。

新思科技首席科學家Sammy Migues表示：“2022年，更多企業希望掌握他們的軟件有哪些組件。企業将要求供應商說明應用和設備中的所有軟件、軟件來源、軟件如何構建和測試以及維護。”

3. 企業逐漸意識到AppSec是風險管理的關鍵

過去，AppSec 被視爲業務進展的障礙。現在，企業開始意識到 AppSec 與構建、部署和運行軟件的方式密不可分。

新思科技高級安全策略師Jonathan Knudsen表示：“企業開始認識到 AppSec 是風險管理的關鍵部分，并且正确實施 AppSec 計劃會帶來商業利益。成功的 AppSec 意味着更少的軟件漏洞，這意味着更低的風險，生産力以及客戶滿意度也會更高。”

另外，在 AppSec 領域，企業一直在采用靜态分析工具、交互式應用安全測試工具和軟件組成分析工具等，以期快速做出決策并培養DevSecOps文化。

企業不想浪費開發人員的時間來梳理大量重複的缺陷信息，或修複不可利用的缺陷。因此，整合來自多個工具的結果并提供優先級的缺陷列表将成爲優先事項。

4. 雲安全策略日益成熟，容器編排技術持續增加

在未來一年，網絡安全意識培訓對于各種形式和規模的企業預防網絡攻擊仍然至關重要。

新思科技軟件質量與安全部門安全工程師Amit Sharma表示：“随着越來越多企業采用雲解決方案，雲安全策略将在未來幾個月到幾年内日益成熟。自動化和配置可以有助于保護雲端的敏感數據。我們将看到 Kubernetes 等編排技術的使用持續增加，并且對容器和 Kubernetes 安全解決方案的需求也會增加。”

5. 基礎設施即代碼在亞太區的采用速度将進一步加快

新思科技軟件質量與安全部門亞太區客戶服務總監Ian Hall表示：“基礎設施即代碼已經存在多年，但亞太地區的采用速度相比其它地區較慢，預計這種情況将在 2022 年發生變化。現在，基礎設施即代碼與雲原生架構都已經是常态化。因此，企業将需要重新審視已實施的安全計劃，以防在遷移到新架構時，以往的策略變得沒有效用。這些技術變革意味着需要對員工加強培訓，以便他們具備有效支持和保護系統所需的技能。”

6. 更多汽車行業網絡安全标準将出台

2021年，許多汽車行業網絡安全标準出台，包括 ISO/SAE 21434、Automotive SPICE for Cybersecurity和TR-68:3。專注于開源軟件安全性的OpenChain ISO 5230也已發布。此外，還有更多相關的标準正在制定，包括ISO 5112、ISO/SAE 8475及 ISO/SAE 8477等。所有這些不同的标準和技術參考爲汽車行業提供指導，以制造更安全的汽車。

新思科技首席汽車安全策略師Dennis Kengo Oka博士表示：“2022 年，我們将看到汽車行業繼續采用以上這些标準和技術參考。主要活動包括建立新的網絡安全政策和流程、雇用安全人員并分配網絡安全角色和職責，以及在企業中開展網絡安全活動。我們還期待看到更簡化的工作流程。”

7. 軟件安全合規需求持續增加

中國在2021年陸續頒布的《數據安全法》和《個人信息保護法》，有助于規範數據處理活動，保障數據安全，以及更加有效地保護個人隐私。

新思科技中國區軟件應用安全技術總監楊國梁表示：“最近幾年，全球各地都陸續推出數據保護有關的法律法規。軟件企業在合規方面的投入也在加大。在BSIMM12報告中，77%的受訪者表示已經将合規約束轉變爲需求。這有助于提高審計時的可追溯性和可視性。在未來，合規在軟件質量與安全管理中重要性将越來越高。”

推進數字化轉型，才能真正賦能高質量發展。現在，數字化轉型已經成爲中國乃至全球各大産業的必答題。這離不開軟件的驅動和應用。因此，軟件是否安全直接關乎到數字化轉型的成功與否。無論是爲了提升效率，還是爲了合規，軟件安全不可忽視；無論是企業，還是消費者，對軟件安全的關注度隻會有增無減。