12月2日,CIO时代学院、新基建创新研究院和Synopsys新思科技联合主办了“第41期CXO直播间”,本次的重磅嘉宾分别是:来自新基建创新研究院领域专家、数世咨询创始人李少鹏先生,长期从事安全领域的专项研究,致力于为决策者提供安全知识能力;Synopsys新思科技软件质量与安全部门的高级安全架构师杨国梁先生,作为国际领先的软件开发安全管理厂家代表,专注于帮助客户发现和修复基于软件产品和系统的关键安全漏洞。
两位大咖的现场对话精彩纷呈,碰撞出了许多发人深省的观点,对于目前的安全领域市场进行了深度分析,同时也提出了许多前瞻性观点。
1、软件测试工具面临的主要挑战
今年8月份,Synopsys发布了针对现代应用程序开发安全的调研报告,包括了开发的测试运维等等。这里面就有一些数据,认为“目前应用安全是我们最重要的安全投资”的人数占比58%。并且一半以上的人认为计划较去年还要增加投资。
我们来执行软件安全的最佳实践落地的时候做过一些调查,比如目前测试工具面临的主要挑战。其中最大的挑战就是开发人员缺乏应对已识别问题的知识。比如说工具报了一个问题,可能开发人员并不完全理解这个问题。当然经过这些年培训的加强,情况已经有所好转,有正确的人在做正确的事。其次就是通过流程设计融入到开发过程中,解除研发人员的抵触。需要通过设计流程,让工具服务于开发人员,服务于整个业务过程,而不是叠加一个东西强制地让开发人员来做,不然就算有高层的支持也只是表面工作。因此,最重要的是让大家都认识到工具的价值。
2、开源存在的安全风险现状
说到开源的风险,Synopsys大概在每年四五月份的时候会发布审计报告,包含过去一年我们审计的结果。比如去年我们审计了各行各业大概1250多个商业贷款户,统计他们用了哪些开源组件,这些开源组件中又有哪些安全的风险。根据统计可知,目前大家对开源的使用已经变得不可或缺,或者可以说是严重依赖,但却没有人有义务去维护这些软件的质量与安全。
3、网络安全投入的分配比例
上图的左边就是SAP当时统计的结果,多数安全问题其实发生在应用层,右边可以看到蓝色的柱状图,代表有限的资源和预算被投入到了哪些防御的体系上面。
蓝色的部分代表投入,最高蓝色数据是在防火墙的检测;黑色的部分是代表真正发生问题,产生漏洞的部分,也就是最具威胁的情况。比如最左边的黑色柱和蓝色柱之间有明显的差距,我们其实就应该做出调整,将预算放到处理应用层的安全工作上面来。
我们做过一个统计分析,一半的问题是在代码的时候出现的,另一半的问题是在设计阶段和后期配置上之类环节出现的。所以我们需要的是,在最初做代码时候能够发现问题,研发人员如果能够及时获得 SST结果的话,整改的代价是最小的。
4、选择最适合自己的安全产品
最适合的方法当然还是投入资源,将业务系统拿出来做测试,才能知道工具到底合不合适。但是对于前期比如调研阶段,可能没有那么多精力来做,投入也太高。这时候我们可以给用户介绍一个方法,借助比如OWASP Benchmark项目的一些参考,通过得分可以得知真正的问题有没有被报出来。我们有一个静态分析工具,得分能够达到 87%。因为静态工具有自己的局限, 87%已经是目前业界的最高分了。