当前位置:首页 > 厂商动态 > 新思科技(Synopsys)
[导读]有效的AppSec计划可以帮助解决日益严峻的软件安全挑战。AppSec不仅仅涉及部署工具和运行测试,还涉及协调人员、流程和技术,以全面解决应用安全风险。企业可以借助专业的安全咨询服务和组合解决方案构建并加速AppSec计划,以攻克当今挑战并掌控未来机遇。Gartner 最近发布了 《2023年应用安全测试关键能力报告》,面向五个常见特定用例解析哪些工具和技术更为重要,为部署AppSec计划的企业提供借鉴。

有效的AppSec计划可以帮助解决日益严峻的软件安全挑战。AppSec不仅仅涉及部署工具和运行测试,还涉及协调人员、流程和技术,以全面解决应用安全风险。企业可以借助专业的安全咨询服务和组合解决方案构建并加速AppSec计划,以攻克当今挑战并掌控未来机遇。Gartner 最近发布了 《2023年应用安全测试关键能力报告》,面向五个常见特定用例解析哪些工具和技术更为重要,为部署AppSec计划的企业提供借鉴。

最大限度地提升企业应用安全

Gartner 将第一个用例定义为关注拥有广泛应用和开发方法的企业的需求。因此,他们需要一种全面的应用安全方法。换句话说,如果您的团队构建的软件不是企业本身的产品,而是业务的主要推动因素(比如,客户可借此访问产品或服务),则此用例适用。

新思科技软件质量与安全部门产品营销高级总监Patrick Carey表示:“应用组成愈加复杂和交付要求不断提高,企业需要在应用生命周期的所有阶段解决所有组件的安全问题。然而,许多企业发现他们正在跨多个开发团队使用和管理十几个或更多应用安全测试 (AST) 工具。当不同的团队使用不同的工具以不同的方式报告安全结果时,很难做到‘窥一斑而见全豹’。”

新思科技软件风险管理平台等应用安全态势管理 (ASPM) 解决方案可对症下药,帮助企业 AppSec 团队理清和归纳检测结果。借助ASPM,企业可以跨团队定义和自动化统一的安全策略,并跨工具综合、过滤和确定调查结果的优先级。

确保软件供应链安全

企业越来越多地采用供应链风险管理方法以确保应用安全。协同使用多种工具以实现安全风险的可见性和控制,覆盖专有、开源和第三方软件和服务,以及用于向最终用户交付应用的 DevOps 管道和云基础设施。软件供应链漏洞及攻击频发,政府对应用安全提出更严格的监管要求,各大机构也在积极推动供应商提供更安全的软件开发实践等等。这些压力都在促使行业做出转变,落实软件供应链安全。

软件供应链安全并不独立于应用安全,而是包含其中。企业意识到,仅仅将一组规定的安全测试作为软件开发生命周期的一部分是不够的。他们需要对其上游软件组件供应商和 DevOps 工具链风险的可见性和控制。他们同样需要向客户提供软件物料清单(SBOM)或其它,以示软件构成的透明度。这种端到端的可见性和控制链有助于确保供应商和客户拥有主动防御针对应用漏洞的网络攻击所需的信息。

将安全融入DevOps

对不同企业来说,DevSecOps 的含义各异。 Gartner 简述,该用例重点关注在 DevOps 以及快速迭代的软件开发和交付方面有大力投资的企业的需求。

当然,对于应用安全测试,重点还在于支持现代、以开发人员为中心的自动化安全分析的工具。将安全构建到 DevOps 中需要团队优先考虑三件事。

1. 赋能开发人员:为开发人员提供快速高效的工具,帮助他们在编码时解决安全缺陷

2. 智能 AST 编排:优化自动化安全测试并确保管道持续全速运行

3. 基于风险的漏洞关联:帮助团队消除自动化安全测试结果的噪音,将修复工作集中在对业务最重要的事情上

保护云端应用

Gartner 对云原生应用和 DevSecOps 的规定之间有相当大的重叠部分。主要区别在于,DevSecOps 更注重开发人员支持,而云原生应用则更注重 API、基础设施即代码 (IaC) 以及对于大多数云应用环境而言至关重要的容器。

由于许多云原生应用也是企业应用,因此对软件供应链安全的关注也适用于此。然而,了解云架构对这些应用攻击面的影响非常重要。这些应用通常混合使用开源组件、第三方 API、无服务器功能、容器和 IaC。

满足移动和客户端应用的独特安全需求

第四个用例重点关注在客户端硬件上运行的软件,即移动应用。这通常需要专门的测试工具和技术来模拟应用的目标移动设备。

然而,移动应用面临的许多挑战也延伸到其它形式的客户端软件,例如网络设备固件、嵌入式软件和物联网设备。在大多数情况下,此类软件的测试很难自动化,需要直接访问或模拟硬件,并且包括测试用于与其它系统和服务通信的 API 或网络协议。如果您正在构建此类软件,您可能已经拥有用于单元和集成测试的专用工具,挑战在于找到补充工具和服务来测试安全缺陷。

构建AppSec计划

毫无疑问,安全和开发团队很难组装合适的工具包以确保用户可以相信他们提供的软件是安全的。但正如 Gartner 在《应用安全测试关键功能》报告中所阐述的那样,如果您思考一下团队试图支持的用例,就会出现一个用于选择工具的框架。

新思科技中国区应用安全技术总监付红勋表示:“数字时代,AppSec已经成为企业风险管理的关键部分。正确实施AppSec计划对商业利益产生积极影响,因为成功的AppSec意味着更低的风险,更高的效率以及客户满意度。同时,由于企业需要更快地响应市场需求,如果开发人员需要大量时间来梳理缺陷及漏洞,则可能错过最佳上市时间。为了确保速度和安全,兼得‘鱼与熊掌’,企业通常都会与可靠的专业供应商合作,简化并优化安全和开发团队的应用安全测试,为企业在数字经济时代的稳健发展提供有力支撑。新思科技已经连续七年被评为Gartner应用安全测试魔力象限领导者,有实力护航企业的安全之旅,助力构建可信软件。”

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭