【赛迪网讯】共享、开源是互联网最显著的文化特征,打破中心,集思广益,成为了互联网时代最大的发展红利。对于小型科技企业来说,这无疑是一场福音,可以用非常低的成本开发软件,从底层脱颖而出。但这样的便利并非毫无弊端,对于具有一定规模的企业来说,开源带来了网络安全上的隐患,同时工具、接口的繁多也带来系统管理上的不便。因此,不少企业也需要统一管理平台来防范系统的网络安全,并简化管理运维的难度。
新思科技近日推出了软件风险管理平台(Software Risk Manager),这是一款功能强大的新型应用安全态势管理 (ASPM) 解决方案。立足企业“三低”“两难”困境,为企业软件风险管理加上一道双保险。
应用安全(AppSec)三低两难
新思科技的软件风险管理平台也就是Gartner所定义的应用安全态势管理解决方案(ASPM)。新思科技中国区应用安全技术总监付红勋解释了新思科技发布这款产品的初衷:“我们在服务全球数千家客户的过程中,洞察到客户在应用安全(AppSec)计划履行过程中遇到了多种困难或问题。”总结起来,可以用“三低”“两难”进行概括。
新思科技中国区应用安全技术总监付红勋
首先,是投资回报率比较低。据统计,超过40%的企业拥有多达11款AST工具,同时,为了使好这些工具又需要招募很多熟练员工。然而,尽管投入成本非常大,但仍然无法保障软件的质量与安全。
其次,是对软件风险把控的准确率比较低。即使是比较熟练的软件安全技术人员,也无法审核和查明最易受攻击的软件是哪些,从而导致合规变得非常困难。
第三,是AppSec在执行的过程中,它的效率是很低的。这些应用安全测试是在SDLC的不同阶段开展的,操作人员也不相同,甚至运行的结果也是各式各样,这就导致不同团队进行汇总分析的效率非常低。
除了以上的“三低”,还有“两难”。第一难是对AppSec策略的统一有效管理比较难。由于现代软件不是完全自研的,而是一个个混源项目,有开发者自己写的、有开源的、也有第三方的。面对这些不同的对象,对AppSec进行管理的策略也有所区别,这些策略的统一有效管理难度很大。
最后是运维人员难以聚焦到关键的安全工作上。因为有太多的测试工具和测试结果,这些检测数据有重复的、还有误报的,需要把这些噪音去除。因此开发人员究竟应该优先关注哪一款软件的、哪个组件、哪个安全问题呢?这是一个很难回答的问题。这导致很多开发人员的工作都浪费在了非关键、非重要的安全工作上。
正是为了解决以上难题,新思科技推出了 “应用安全态势管理”平台。
编排、关联、内嵌解决“三低两难”
解决“三低”“两难”,就是要把各个工具的输出放到一个统一的数据仓库里。同时,将各个环节做整合,再进行标准化,以便于高效的管理,实现自动编排、调度、去重和关联分析。在此基础上,实现跨团队、跨项目、跨工具进行共享,整合洞察发现。
根据Gartner的预测,在2026年,将有40%的企业会选择ASPM解决方案。ASPM最大的价值就是把软件开发的整个生命周期(从研发、部署到运维)里所有与安全相关的信号汇聚起来,提高其可见性。将这些风险、信号可视化,能够更好地根据企业既定的AppSec策略去做管理和控制。
新思科技的SRM(软件风险管理平台)本质上也是一个ASPM解决方案,其优势就是通过编排、关联和内嵌实现对风险的可视化管理。
客户可以通过API接口把既定的业务、安全策略(PaC,Policy as Code,策略即代码)写进来。在对手工测试或AST测试工具的编排上,新思科技既能实现手工测试和自动化测试,又能兼容新思科技自己的、开源的以及第三方的各种工具,真正做到在合适的时间、对合适的对象、开展合适的测试,并测试到合适的深度。由于AST测试工具非常多,那么对于ASPM平台来讲,支持的第三方工具越多其价值越大。新思目前支持超过135种商业或开源的AST工具,是业界目前对AST工具支持最多的ASPM厂商。同时,新思科技还将业界领先的Coverity(SAST)和Black Duck(SCA)两款工具天然集成到了SRM平台,这使得客户可以一站式地享受到业界最为领先的SAST和SCA的扫描引擎。
对新思科技软件风险管理平台的优点,付红勋用了“三化”“两快”做了总结。即管理简化、风险可视化、工作标准化,最终实现快速确定风险的优先级、快速同步业界领先的AppSec测试能力。以“三化两快”解决应用安全的“三低两难”,打破边界,统一整合,在互联网开源时代,真正发挥数字化的最大潜力。