12月2日，CIO时代学院、新基建创新研究院和Synopsys新思科技联合主办了“第41期CXO直播间”，本次的重磅嘉宾分别是：来自新基建创新研究院领域专家、数世咨询创始人李少鹏先生，长期从事安全领域的专项研究，致力于为决策者提供安全知识能力；Synopsys新思科技软件质量与安全部门的高级安全架构师杨国梁先生，作为国际领先的软件开发安全管理厂家代表，专注于帮助客户发现和修复基于软件产品和系统的关键安全漏洞。

 

 

　　两位大咖的现场对话精彩纷呈，碰撞出了许多发人深省的观点，对于目前的安全领域市场进行了深度分析，同时也提出了许多前瞻性观点。

 

 

　　今年8月份，Synopsys发布了针对现代应用程序开发安全的调研报告，包括了开发的测试运维等等。这里面就有一些数据，认为“目前应用安全是我们最重要的安全投资”的人数占比58%。并且一半以上的人认为计划较去年还要增加投资。
 

 

　　我们来执行软件安全的最佳实践落地的时候做过一些调查，比如目前测试工具面临的主要挑战。其中最大的挑战就是开发人员缺乏应对已识别问题的知识。比如说工具报了一个问题，可能开发人员并不完全理解这个问题。当然经过这些年培训的加强，情况已经有所好转，有正确的人在做正确的事。其次就是通过流程设计融入到开发过程中，解除研发人员的抵触。需要通过设计流程，让工具服务于开发人员，服务于整个业务过程，而不是叠加一个东西强制地让开发人员来做，不然就算有高层的支持也只是表面工作。因此，最重要的是让大家都认识到工具的价值。

 

　　2、开源存在的安全风险现状
 

 

　　说到开源的风险，Synopsys大概在每年四五月份的时候会发布审计报告，包含过去一年我们审计的结果。比如去年我们审计了各行各业大概1250多个商业贷款户，统计他们用了哪些开源组件，这些开源组件中又有哪些安全的风险。根据统计可知，目前大家对开源的使用已经变得不可或缺，或者可以说是严重依赖，但却没有人有义务去维护这些软件的质量与安全。

 

　　3、网络安全投入的分配比例
 

 

　　上图的左边就是SAP当时统计的结果，多数安全问题其实发生在应用层，右边可以看到蓝色的柱状图，代表有限的资源和预算被投入到了哪些防御的体系上面。

 

　　蓝色的部分代表投入，最高蓝色数据是在防火墙的检测；黑色的部分是代表真正发生问题，产生漏洞的部分，也就是最具威胁的情况。比如最左边的黑色柱和蓝色柱之间有明显的差距，我们其实就应该做出调整，将预算放到处理应用层的安全工作上面来。

 

　　我们做过一个统计分析，一半的问题是在代码的时候出现的，另一半的问题是在设计阶段和后期配置上之类环节出现的。所以我们需要的是，在最初做代码时候能够发现问题，研发人员如果能够及时获得 SST结果的话，整改的代价是最小的。

 

 

　　4、选择最适合自己的安全产品
 

 

　　最适合的方法当然还是投入资源，将业务系统拿出来做测试，才能知道工具到底合不合适。但是对于前期比如调研阶段，可能没有那么多精力来做，投入也太高。这时候我们可以给用户介绍一个方法，借助比如OWASP Benchmark项目的一些参考，通过得分可以得知真正的问题有没有被报出来。我们有一个静态分析工具，得分能够达到 87%。因为静态工具有自己的局限， 87%已经是目前业界的最高分了。