1. API安全、云應(yīng)用安全及應(yīng)用安全編排服務(wù)需求增加

正如DevOps在過去幾年對應(yīng)用安全實(shí)踐所產(chǎn)生的深遠(yuǎn)影響一樣，在新冠肺炎疫情爆發(fā)的這一年，云技術(shù)加速應(yīng)用正在進(jìn)一步重塑軟件安全格局。

盡管DevOps呈現(xiàn)了軟件構(gòu)建、交付和運(yùn)行方式的變革，但應(yīng)用程序的架構(gòu)、組成和定義也在迅速發(fā)生變化，并引發(fā)人們對軟件安全策略的重新思考。未來一到兩年，快速交付速度和云轉(zhuǎn)型的雙重壓力將對軟件安全市場產(chǎn)生重大影響。

在過去的五到十年，軟件安全已從“掃描-報(bào)告”式的審核思維方式演變?yōu)榘踩Ｕ蠈?shí)踐，在提高安全的同時(shí)不會犧牲速度和創(chuàng)新。隨著開源使用增加，開源和第三方組件的許可證濫用和安全漏洞風(fēng)險(xiǎn)也提高了，因此軟件組成分析已經(jīng)成為安全保障計(jì)劃的關(guān)鍵。隨著云基礎(chǔ)架構(gòu)、微服務(wù)和API的廣泛應(yīng)用，新思科技看到了應(yīng)用程序在定義上也發(fā)生了類似，甚至是更大的轉(zhuǎn)變——越來越多的第三方服務(wù)、API、微服務(wù)和云原生組件服務(wù)的集成都通過云提供商或托管編排平臺(如Kubernetes)來進(jìn)行應(yīng)用編排。

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示：“為了領(lǐng)先于云轉(zhuǎn)型，軟件安全將進(jìn)一步升級，成為基于風(fēng)險(xiǎn)的漏洞管理服務(wù)，作為軟件構(gòu)建和交付流程的一部分將安全服務(wù)自動化并進(jìn)行編排。”

2. 網(wǎng)上交流和數(shù)字交易激增，網(wǎng)絡(luò)攻擊的整體攻擊面擴(kuò)大

隨著疫情在全球蔓延，網(wǎng)上交流和數(shù)字交易激增。同時(shí)，企業(yè)遭受網(wǎng)絡(luò)攻擊的總體攻擊面也大幅增加。大多數(shù)企業(yè)對此沒有充足的應(yīng)對準(zhǔn)備。

現(xiàn)在，企業(yè)不得不改變他們的流程、服務(wù)和技術(shù)，以達(dá)到客戶期待，解決其生存危機(jī)。這要求在不損害組織和客戶數(shù)據(jù)安全及隱私的情況下靈活行事。企業(yè)必須采取靈活的解決方案，同時(shí)保護(hù)企業(yè)自身及客戶數(shù)據(jù)的安全和隱私。

新思科技交互式應(yīng)用安全測試產(chǎn)品管理高級經(jīng)理Asma Zubair預(yù)測道：“因此，我預(yù)計(jì)在未來的幾個(gè)月，越來越多的企業(yè)將擁抱DevSecOps等概念。DevSecOps描述了一種企業(yè)文化，通過這種文化，可以優(yōu)化軟件開發(fā)、測試和部署實(shí)踐流程，縮短發(fā)布周期并持續(xù)交付軟件。交互式應(yīng)用安全測試(IAST)是一種基于代理的技術(shù)，可以檢測Web應(yīng)用程序中的漏洞。我預(yù)計(jì)IAST在2021年的使用還會增長。”

3. 技術(shù)和企業(yè)層面均需考慮網(wǎng)絡(luò)安全

2020年，ISO / SAE 21434網(wǎng)絡(luò)安全工程標(biāo)準(zhǔn)草案出臺，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇(WP.29) 對網(wǎng)絡(luò)安全和軟件更新的法規(guī)也開始采用。這些標(biāo)準(zhǔn)和法規(guī)更加重視汽車行業(yè)的網(wǎng)絡(luò)安全，并將極大地影響汽車制造商和供應(yīng)商，尤其是在未來幾年。我們需要從技術(shù)及企業(yè)層面來考慮網(wǎng)絡(luò)安全。

新思科技首席汽車安全策略師Dennis Kengo Oka指出：“這包括建立網(wǎng)絡(luò)安全文化意識以及實(shí)現(xiàn)網(wǎng)絡(luò)安全的管理和培訓(xùn)。此外，汽車企業(yè)在明年會需要采用網(wǎng)絡(luò)安全工程流程，包括安全軟件開發(fā)流程。隨著汽車系統(tǒng)使用越來越多的軟件，對于汽車行業(yè)來說，部署自動化解決方案以幫助在軟件開發(fā)初期發(fā)現(xiàn)和修復(fù)軟件漏洞變得非常重要。”

4. 應(yīng)用團(tuán)隊(duì)將更多地采用DevSecOps流程

2021年，應(yīng)該正式摒棄集中、孤立的軟件安全模式。許多企業(yè)最初采取的這種模式頗不成熟，因?yàn)檫@一做法意味著只有一個(gè)團(tuán)隊(duì)負(fù)責(zé)所有正在構(gòu)建中的應(yīng)用的安全。時(shí)間證明，這種做法不僅拖慢流程還讓團(tuán)隊(duì)成員身心俱疲。最終，安全團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)會陷入僵局，導(dǎo)致應(yīng)用程序安全性低且上市緩慢。

在新模型中(我們可以稱之為軟件安全2.0)，安全與軟件開發(fā)緊密結(jié)合。它貫穿于設(shè)計(jì)、實(shí)施、維護(hù)的每個(gè)階段。安全團(tuán)隊(duì)提供專業(yè)知識支持，但是安全防護(hù)是自動化的，并與軟件開發(fā)流程集合，可以無縫添加，從而構(gòu)建出更安全、優(yōu)質(zhì)的產(chǎn)品。

新思科技高級安全策略師Jonathan Knudsen表示：“2021年，我預(yù)計(jì)在安全團(tuán)隊(duì)的適當(dāng)支持下，越來越多的應(yīng)用團(tuán)隊(duì)將對安全性承擔(dān)全部責(zé)任。隨著職責(zé)和預(yù)算的變化，應(yīng)用團(tuán)隊(duì)將更廣泛使用DevSecOps流程。憑借DevSecOps，團(tuán)隊(duì)可以充分利用自動化，最大限度提速，并且持續(xù)改進(jìn)的企業(yè)文化使每個(gè)團(tuán)隊(duì)都可以對流程進(jìn)行調(diào)整及優(yōu)化。”

5. 使用低代碼或無代碼將“Sec”(安全)真正構(gòu)建到DevOps中

在過去的一年里，新思科技看到越來越多的團(tuán)隊(duì)使用低代碼/無代碼平臺快速構(gòu)建應(yīng)用程序。應(yīng)用安全測試工具(Application Security Testing，簡稱AST)，尤其是靜態(tài)應(yīng)用安全測試工具(Static Application Security Testing，簡稱SAST)在執(zhí)行代碼掃描時(shí)效果最佳。SAST工具的工作方式可能需要在近期進(jìn)行修改以適應(yīng)這些平臺。

新思科技產(chǎn)品管理高級總監(jiān)(DevOps解決方案)Meera Rao表示：“我設(shè)想將安全內(nèi)置到軟件中的方式將發(fā)生變化。越來越多的AST工具將朝著提供與低代碼/無代碼平臺相同的體驗(yàn)的方向發(fā)展。通過為工具提供一些輸入，它們將能夠生成在本地或云端無縫運(yùn)行該工具所需的所有集成，就像低代碼/無代碼平臺一樣。”

6. 大規(guī)模的安全“向左移”

目前，應(yīng)用程序漏洞依然形式嚴(yán)峻，甚至安全設(shè)備廠商本身都有大量的易受攻擊的安全漏洞。公司安全團(tuán)隊(duì)的地位雖然有所提高，但仍然沒有受到足夠的重視，并且基本上都受困于人手不足的狀態(tài)。僅有的人手往往要對線上安全問題疲于奔命，很少有精力兼顧開發(fā)過程的應(yīng)用安全。

安全“向左移”的概念已經(jīng)開始被業(yè)界所廣泛接受，開源供應(yīng)鏈風(fēng)險(xiǎn)評估體系、研發(fā)運(yùn)營安全能力成熟度模型等內(nèi)容的相繼發(fā)布，將使得企業(yè)更加重視開發(fā)過程中的安全活動。企業(yè)會在應(yīng)用開發(fā)安全上投入更多的資源，尤其是開源組件治理、白盒代碼檢查等收益顯著的安全活動。

新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁表示：“希望在2021年可以看到業(yè)界能夠更大規(guī)模地將安全‘向左移’的思想在整個(gè)開發(fā)生命周期中貫徹落實(shí)，在賦予安全團(tuán)隊(duì)更大權(quán)力的同時(shí)，加強(qiáng)安全團(tuán)隊(duì)與開發(fā)團(tuán)隊(duì)的互動，共同商議更加符合企業(yè)目標(biāo)的安全方案。”