主办单位:中国物品编码中心 | 中国自动识别技术协会 | 《中国自动识别技术》杂志社

设为首页 | 加入收藏 | 关于我们

  企业新闻  正文

新思科技:安全可信软件 行稳致远

发布时间:2024年05月24日 来源:中国自动识别网

新思科技中国区应用安全技术总监付红勋表示:  “软件安全是一个朝阳产业,因为现在世界基本上由软件定义。软件是数字化转型的载体,软件和安全是相伴相生的。如果安全不到位,就会带来相应的损失。而且,损失未必是财务上的,还有可能造成企业声誉受损,带来不可估量的负面影响。如何确保软件安全和构建可信软件,值得新思科技关注的三个领域是安全态势、移动安全以及研发人员。”
 
安全态势可控
安全已经是产业发展的必修课,各大企业也已经部署应用安全(AppSec)计划。但很多企业的AppSec计划面临着“三低两难”的问题。
投资回报率低  工具、人员和维护成本高昂,无法充分保障软件安全。
软件风险判断的准确率低  无法审核和查明最易受攻击的软件,从而导致合规性变得困难。
安全活动速度低  安全活动拖慢了产品交付速度,无法满足客户的服务水平协议(SLA),无法保持业务连续性。
难以有效管理AppSec策略  所有生产级代码、内部代码和第三方代码很难达到质量标准化。
难以优先考虑关键工作  过多的误报和冗余活动降低生产力。
为了帮助业界应对以上挑战,新思科技近期推出了全新软件风险管理平台(SRM)。该平台是一种应用安全态势管理(ASPM)解决方案,内置了新思科技广受认可的Coverity静态应用安全分析和Black Duck软件组成分析,帮助用户以“三化两快”化解“三低两难”。
管理简化  统一新的和现有安全工具的结果,与 135多商业及OSS的DevOps和AppSec工具集成。
风险状态可视化  将违规情况映射到相应发现,直至代码行。
工作流程标准化  定义和管理策略以编排测试、分类和修复。
快速确定风险优先级  直接向开发人员上报严重缺陷。
快速同步应用安全测试(AST)能力  利用SAST和SCA的内置引擎快速展开核心测试。
Gartner预测,到2026年,超过40%的开发专有应用的企业将采用ASPM解决方案,以快速识别和解决应用安全问题。
 
移动安全可及
手机已经不仅仅是移动硬件设备,而是承载着更多软件应用,覆盖家居、娱乐、出行、支付、会议等方方面面,移动安全可谓牵一发而动全身。
那么,移动安全的难点在于既要全面,又要快速。移动端APP语言多样,包括Kotlin、Java、Swift、Objective-C等。这就要求综合运用全面的测试技术,比如SAST、DAST或IAST。企业希望这些测试技术不仅能自动化运行、与CI/CD管道集成、快速发现问题并且指导开发修复问题。
新思科技深知行业痛点,推出移动应用安全测试(MAST),联合行业伙伴力量不断精进。最近,新思科技与移动安全和隐私专家NowSecure合作,为业界提供更快速、更全面的移动应用安全测试。用户可以获得三方面的优势:第一,APP发布速度提升;第二,能够快速地把发现的风险,甚至漏洞修补掉;第三,客户能够得到可信的移动应用。
作为智能终端制造商和移动互联网服务提供商,OPPO意识到安全和隐私是智慧生态系统不可分割的一部分,并提出了“可信”的概念,这与新思科技不谋而合。
OPPO终端安全领域总经理王安宇表示:“我们将消费者、监管机构以及行业的诉求都映射到内部产品的研发安全和隐私要求,同时与行业著名厂商、上下游合作伙伴等共同去规划、实施、持续改进安全计划。新思科技是OPPO长期的安全合作伙伴,提供软件安全成熟度和能力提升、SCA代码质量分析、产品安全质量验证等综合产品和服务,与我们携手构建闭环的软件安全解决方案,在探索功能创新的同时,也为消费者交付可信的产品。”
 
安全开发可行
软件安全归根结底很大程度上取决于安全的开发。因此,对开发人员进行系统、全面的培训至关重要。然而,此类培训通常会比较枯燥,又难以和现实业务场景挂钩,使得开发人员兴趣不大。
为此,新思科技完善了开发人员安全培训(Developer Security Training)平台,帮助开发人员提高安全能力,同时提供简化方法,将整个企业的安全实现标准化。该企业级敏捷学习平台提供8000多种学习活动,培训内容跨越60多种编码语言和开发框架,且数量不断增长。该平台支持8种语言,包括简体中文。
付红勋总结,在这个软件定义世界、软件改变世界的时代,安全问题变得非常凸显,包括漏洞、版权、运维等各方面的风险。每个行业面临的软件安全风险有共性也有特性,但总的来说,各行各业都不能独善其身,主动防御和联合生态圈力量发挥协同效应,持续构建和交付安全、可信的产品,激发产业创新活力,行稳致远。
 供稿单位:新思科技
《中国自动识别技术》2024年第2期总第107期

延伸阅读:

声明:

    凡本网注明“来源:中国自动识别网、《中国自动识别技术》、《条码与信息系统》”的所有作品,版权均属于中国自动识别网、《中国自动识别技术》、《条码与信息系统》, 未经本网授权不得转载、摘编或利用其他方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:中国自动识别网、《中国自动识别技术》或《条码与信息系统》”。违反上述声明者,本网将追究其相关法律责任。
    凡本网注明“来源:XXX(非中国自动识别网、《中国自动识别技术》、《条码与信息系统》)”的作品,均转载自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。文章内容仅供参考。 如因作品内容、版权和其他问题需要同本网联系的,请将内容传真至010-84295675,以便本网尽快处理。

高端访谈 更多>>
商品二维码 全球商品通用...
王毅 研究员、中国物品编码中心技术部副主任兼二维码研究室主任,国际自动识别与数据采集技术分委会(ISO/IEC JTC 1/...
物品身份及其编码的本质
张成海 中国物品编码中心主任、中国ECR委员会联合主席、国际物品编码组织(GS1)管理委员会委员及顾问委员会委员、全...
推进我国二维码标准化应...
王毅,中国物品编码中心二维码研究室主任,技术部副主任,研究员,国际自动识别与数据采集技术分委会(ISO/IEC JTC1/S...
AVEVA剑维软件: 信息和智...
数据是数字化转型的关键因素,是企业的重要资产。
杂志专区 更多>>

《2024第2期》

《2024第3期》