提起网络安全,大家更多是想到杀毒软件,防火墙。这些工具更多是在系统上线运行之后的检测和防御。但是实际上,很多安全攻击是由于软件自身的漏洞引起的。随着软件复杂度不断提升,软件自身缺陷数量也可能随之增多,而且开源组件的广泛使用也有一定的安全隐患。从“基因”上优化软件,从开发之初就内置安全性成为软件开发商的重中之重。那么,现在中国的软件行业有充足的专业人才和成熟的培训计划去从源头上降低软件的风险吗?从美国新思科技公司 (Synopsys, Nasdaq: SNPS)最新的一份调查可见一斑。
 
该份调查显示软件的质量与安全是开发人员最关注的两个指标。但是,缺乏熟练的专业人才和培训是全面实施软件安全计划(SSI)的最大挑战。
 
近日,在 TiD2018 质量竞争力大会上,新思科技软件质量与安全部门进行了一项问卷调查,受访对象是来自电信、金融、保险、汽车和科技等多个领域的软件专业人士。TiD2018 于七月中举行,是软件行业的领先峰会。
 
调查还指出 30%的企业依靠开发团队检测软件安全漏洞。为了满足市场需求,软件开发商需要更快地将产品推出市场才能保持竞争力。这意味着开发团队要在缩短软件研发时间的同时也要确保安全性。要实现这一点有很大的挑战。 
 
本次共收集了 293 份有效问卷,主要发现如下:
 
在软件安全方面,目前最迫切需要解决的问题:提升软件质量(44%);软件安全性(28%);创新功能(11%);按时交付产品(10%);合规性(6%);其它(1%)。
实施 SSI 的最大挑战:缺乏熟练的专业人才或培训(67%);预算限制(22%);不需要 SSI(7%) 。
 
如何开展应用安全计划:拥有负责应用安全的内部团队或专门的安全计划(62%);第三方供应商负责评估应用安全和执行安全计划(11%);综合以上两项(14%);没有正式的应用安全计划(13%)。
 
谁负责测试软件的安全漏洞:开发团队(30%); IT 安全团队(27%);质量保证团队(25%);产品安全团队(14%);多团队合作(4%)。
 
哪种类型的漏洞带来最严重的安全风险:企业自己开发的专有代码中的应用程序漏洞(40%);企业委托的第三方供应商所开发的专有代码中的应用程序漏洞(30%);企业开发或使用的开源软件组件中存在的漏洞(30%)。
 
新思科技软件质量与安全部门高级安全架构师杨国梁表示:“这份调查结果贴切地反映了现在软件开发团队面临的两难困境,一方面需要尽快开发出来新的软件解决方案;另一方面也要确保产品的安全性和稳健性。这两项任务都需要时间和资源配合。一旦遇到人员流动的时候,开发团队更雪上加霜。因此,它们需要像新思科技这样的企业提供专业的软件质量与安全服务。”
 
杨国梁介绍道:“新思科技软件质量与安全部门提供全方位的管理和专业服务、产品和培训。我们可以根据客户的具体需求定制软件安全计划。我们致力于在整个软件开发周期中提供支持,助力企业更加迅速地构建安全、高质量的软件。”
 
新思科技软件质量与安全部门的调查问卷还发现了企业目前正在寻求哪些软件应用测试解决方案:静态分析 / 静态应用安全测试(49%);架构风险分析 / 威胁建模(47%);动态分析 / 动态应用安全测试(38%);交互式应用安全测试(30%);第三方渗透测试(24%);软件组成分析(21%);模糊测试(14%)。