【赛迪网讯】当前数字经济进入了繁荣发展的“黄金年代”，各企业的数字化转型进程也在不断加速，中国软件产业也呈现出高增长的态势。而企业的数字化转型业务在很大程度上依托于可信安全的软件来推进。因此，把控应用安全测试，维护软件安全可信，是加快发展数字化业务的重要保障和抓手。

近日，新思科技重磅发布《2021年软件漏洞快照：新思科技应用安全测试服务分析》报告，该报告分析了2020年对2,600个目标（即软件或系统）进行的3,900次测试的数据，这些数据由新思科技安全顾问在评估中心为客户进行的测试汇编而成，对进一步引发业内对软件应用安全的重视具有重要意义。

针对该份报告，新思科技中国区软件应用安全技术总监杨国梁在媒体交流会上进行了深入解读。

趋势与挑战 

杨国梁简要总结了目前软件转型的重要趋势。他指出，当前DevOps模型已被广为接受，而在应用安全方面势必会引入一些Application Security Test应用安全测试的方法。

杨国梁强调，当前安全测试的重要性已被广泛认识，但是所有的安全测试工具相对处于一种“孤岛”的状态。而软件产业的云化过程既带来了好处，又造成了一些独特的安全风险，如云上的基础设施即代码（IaC）的安全问题等。另外，有关系统、软件、应用的安全问题应该转化为风险管理的过程，将其作为一种系统级的风险问题进行统一化的管理。

当前的软件应用安全还面临一些挑战。首先是应用程序的数量出现激增，整个国计民生可能全部都在依赖软件进行作用，所以这些其实本质上都是应用程序。随着数字化转型的推进，应用程序的数量会越来越多。

同时，随着DevOps体系的发展，每一个应用的发布周期越来越短，手机上的APP可能每天都会收到更新的推送。另外，对于做应用程序的公司来说，安全部门和开发部门的目标可能是不一致的。同时，无论对安全部门还是对开发部门来讲，当前的工作量都很大，很难管理。最后，虽然相关安全工具的重要性已得到广泛认识，但安全和开发的工具目前都处于一个相对碎片化的状态。

杨国梁还指出，过去传统的一整个大的应用程序交付方式正转变为微服务的模式，即把某一个模块精简到最小的服务单元，然后以数据调用的形式互相互通，提供整个系统的应用。而这些微服务之间，客户端和服务端的绝大多数数据都是通过API来传输的，同时带来了一定的安全问题。

更完善的风险管理 

针对当前软件应用安全存在的问题，杨国梁表示，更完善的风险管理应当是由基于各类有效工具的自动化测试与基于专家经验测试组合构成的。自动测试可以规避一些人工测试吞吐量有限且不稳定的问题，能以一个非常稳定的可扩容可扩展的方式提供安全测试的结果。但同时也有许多业务逻辑的问题依赖手工专家测试。

杨国梁指出，一个全面的风险管理，需要考虑静态代码测试（SAST），同时加入相应的软件组成分析（SCA）。除了这些工具之外，还需要有专家主导的一些大家比较常见的渗透测试，或者风险架构分析或业务逻辑分析、设计缺陷等等分析，以及需要依靠人工或是进一步的二次开发的工作误报的验证、漏报的调优，以及具体修复策略的推送等等。

新思科技近些年来一直在强调“安全左移”的概念，希望从上线到测试到编码到设计阶段，尽量在软件生命周期的左边（即早期）解决存在的安全问题。而针对软件全生命周期存在的安全问题，新思科技有具体的产品或者人工服务等解决方案。

构建可信软件 

为有效管理业务风险，构建可信软件，新思科技总结了三个方向的应对策略。

第一，保护软件的供应链安全。有很多开源组件构成了现在的软件系统，但软件的使用方不一定是软件的构建者，而软件的构建方又不一定每一行代码都是他自己写的，所以整个软件的供应其实是一个很长的供应链体系。所以在整个供应链里面，需要使用全面的应用安全工具，保证整个供应链的安全。

第二，将安全性纳入DevOps。要借助智能AST编排和关联，帮助团队保持DevOps速度，并将修复重点放在对业务最关键的问题上。

最后，建立全面的应用安全项目。应当从人员、流程、技术三个环节进行全面考虑，解决整个企业和应用生命周期所有阶段的安全风险。

杨国梁在回答媒体提问时还补充了新思科技对软件安全趋势的研判。他指出，软件的透明度将被进一步加强。未来的软件厂商在向客户交付软件产品时，可能需要说明里面用了哪些第三方组建、开源软件、组件版本等。基于厂商的SBOM（Software bill of materials），客户可能会实时监控组件有什么样的安全问题。(文/徐培炎)