不穩定性已經成爲了(le)新常态，而且網絡安全挑戰仍然持續存在。一方面新技術不斷湧現，應用(yòng)場(chǎng)景更加多(duō)元化(huà)；另一方面，安全威脅相伴相生，甚至其中一些安全問題會爆發在令人(rén)意想不到的(de)領域。安全能力已經躍升爲企業的(de)核心競争力。很多(duō)企業都在尋求可(kě)靠的(de)安全廠商，提供安全技術和(hé)搭建戰略框架，并加強對(duì)軟件安全和(hé)技術供應鏈的(de)審查。

在新的(de)一年到來(lái)之際，新思科技與大(dà)家分(fēn)享觀察到的(de)新興趨勢，希望能幫助企業在推進軟件安全計劃時(shí)做(zuò)出更加明(míng)智的(de)決策。

1. 人(rén)工智能驅動系統的(de)安全性成爲開發和(hé)安全團隊的(de)重要實踐

新思科技軟件質量與安全部門總經理(lǐ)Jason Schmitt表示：“人(rén)工智能已從一項有前景的(de)技術迅速發展成爲 IT 和(hé)消費等幾乎所有領域的(de)主流。因此，人(rén)工智能驅動系統的(de)安全性将成爲開發和(hé)安全團隊的(de)另一個(gè)重要目标，因爲他(tā)們了(le)解針對(duì)人(rén)工智能的(de)算(suàn)法操作的(de)性質和(hé)範圍。”

2. 軟件的(de)透明(míng)度将增強

随著(zhe)供應鏈攻擊越來(lái)越嚴重，大(dà)家對(duì)軟件物(wù)料清單(SBOM)的(de)關注度也(yě)有所提升。根據最新版本的(de)軟件安全構建成熟度模型(BSIMM)——BSIMM12，在過去24個(gè)月(yuè)，軟件物(wù)料清單活動增加了(le) 367%。

新思科技首席科學家Sammy Migues表示：“2022年，更多(duō)企業希望掌握他(tā)們的(de)軟件有哪些組件。企業将要求供應商說明(míng)應用(yòng)和(hé)設備中的(de)所有軟件、軟件來(lái)源、軟件如何構建和(hé)測試以及維護。”

3. 企業逐漸意識到AppSec是風險管理(lǐ)的(de)關鍵

過去，AppSec 被視爲業務進展的(de)障礙。 現在，企業開始意識到 AppSec 與構建、部署和(hé)運行軟件的(de)方式密不可(kě)分(fēn)。

新思科技高(gāo)級安全策略師Jonathan Knudsen表示：“企業開始認識到 AppSec 是風險管理(lǐ)的(de)關鍵部分(fēn)，并且正确實施 AppSec 計劃會帶來(lái)商業利益。 成功的(de) AppSec 意味著(zhe)更少的(de)軟件漏洞，這(zhè)意味著(zhe)更低的(de)風險，生産力以及客戶滿意度也(yě)會更高(gāo)。”

另外，在 AppSec 領域，企業一直在采用(yòng)靜态分(fēn)析工具、交互式應用(yòng)安全測試工具和(hé)軟件組成分(fēn)析工具等，以期快(kuài)速做(zuò)出決策并培養DevSecOps文化(huà)。

企業不想浪費開發人(rén)員(yuán)的(de)時(shí)間來(lái)梳理(lǐ)大(dà)量重複的(de)缺陷信息，或修複不可(kě)利用(yòng)的(de)缺陷。 因此，整合來(lái)自多(duō)個(gè)工具的(de)結果并提供優先級的(de)缺陷列表将成爲優先事項。

4. 雲安全策略日益成熟，容器編排技術持續增加

在未來(lái)一年，網絡安全意識培訓對(duì)于各種形式和(hé)規模的(de)企業預防網絡攻擊仍然至關重要。

新思科技軟件質量與安全部門安全工程師Amit Sharma表示：“随著(zhe)越來(lái)越多(duō)企業采用(yòng)雲解決方案，雲安全策略将在未來(lái)幾個(gè)月(yuè)到幾年内日益成熟。自動化(huà)和(hé)配置可(kě)以有助于保護雲端的(de)敏感數據。我們将看到 Kubernetes 等編排技術的(de)使用(yòng)持續增加，并且對(duì)容器和(hé) Kubernetes 安全解決方案的(de)需求也(yě)會增加。”

5. 基礎設施即代碼在亞太區(qū)的(de)采用(yòng)速度将進一步加快(kuài)

新思科技軟件質量與安全部門亞太區(qū)客戶服務總監Ian Hall表示：“基礎設施即代碼已經存在多(duō)年，但亞太地區(qū)的(de)采用(yòng)速度相比其它地區(qū)較慢(màn)，預計這(zhè)種情況将在 2022 年發生變化(huà)。現在，基礎設施即代碼與雲原生架構都已經是常态化(huà)。因此，企業将需要重新審視已實施的(de)安全計劃，以防在遷移到新架構時(shí)，以往的(de)策略變得(de)沒有效用(yòng)。 這(zhè)些技術變革意味著(zhe)需要對(duì)員(yuán)工加強培訓，以便他(tā)們具備有效支持和(hé)保護系統所需的(de)技能。”

6. 更多(duō)汽車行業網絡安全标準将出台

2021年，許多(duō)汽車行業網絡安全标準出台，包括 ISO/SAE 21434、Automotive SPICE for Cybersecurity和(hé)TR-68:3。專注于開源軟件安全性的(de)OpenChain ISO 5230也(yě)已發布。此外，還(hái)有更多(duō)相關的(de)标準正在制定，包括ISO 5112、ISO/SAE 8475及 ISO/SAE 8477等。所有這(zhè)些不同的(de)标準和(hé)技術參考爲汽車行業提供指導，以制造更安全的(de)汽車。

新思科技首席汽車安全策略師Dennis Kengo Oka博士表示：“2022 年，我們将看到汽車行業繼續采用(yòng)以上這(zhè)些标準和(hé)技術參考。主要活動包括建立新的(de)網絡安全政策和(hé)流程、雇用(yòng)安全人(rén)員(yuán)并分(fēn)配網絡安全角色和(hé)職責，以及在企業中開展網絡安全活動。我們還(hái)期待看到更簡化(huà)的(de)工作流程。”

7. 軟件安全合規需求持續增加

中國在2021年陸續頒布的(de)《數據安全法》和(hé)《個(gè)人(rén)信息保護法》，有助于規範數據處理(lǐ)活動，保障數據安全，以及更加有效地保護個(gè)人(rén)隐私。

新思科技中國區(qū)軟件應用(yòng)安全技術總監楊國梁表示：“最近幾年，全球各地都陸續推出數據保護有關的(de)法律法規。軟件企業在合規方面的(de)投入也(yě)在加大(dà)。在BSIMM12報告中，77%的(de)受訪者表示已經将合規約束轉變爲需求。這(zhè)有助于提高(gāo)審計時(shí)的(de)可(kě)追溯性和(hé)可(kě)視性。在未來(lái)，合規在軟件質量與安全管理(lǐ)中重要性将越來(lái)越高(gāo)。”

推進數字化(huà)轉型，才能真正賦能高(gāo)質量發展。現在，數字化(huà)轉型已經成爲中國乃至全球各大(dà)産業的(de)必答(dá)題。這(zhè)離不開軟件的(de)驅動和(hé)應用(yòng)。因此，軟件是否安全直接關乎到數字化(huà)轉型的(de)成功與否。無論是爲了(le)提升效率，還(hái)是爲了(le)合規，軟件安全不可(kě)忽視；無論是企業，還(hái)是消費者，對(duì)軟件安全的(de)關注度隻會有增無減。