新思科技付紅勛：AIGC時(shí)代帶來(lái)更大應(yīng)用安全機(jī)會(huì)

9月18日消息（岳明）“應(yīng)用安全是一個(gè)非常朝陽(yáng)的產(chǎn)業(yè)，AIGC時(shí)代對(duì)新思科技來(lái)說(shuō)意味著機(jī)會(huì)。”新思科技中國(guó)區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛在近日于上海舉行的新思科技開(kāi)發(fā)者大會(huì)上接受C114采訪時(shí)談到。

從最新推出的新型應(yīng)用安全態(tài)勢(shì)管理（ASPM）解決方案軟件風(fēng)險(xiǎn)管理平臺(tái)（SRM），到移動(dòng)應(yīng)用安全測(cè)試（MAST）工具和服務(wù)，再到針對(duì)安全開(kāi)發(fā)者的開(kāi)發(fā)人員安全培訓(xùn)（Developer Security Training）企業(yè)級(jí)敏捷學(xué)習(xí)平臺(tái)，新思科技安全的解決方案產(chǎn)品組合正變得愈發(fā)豐富，從而在支撐行業(yè)構(gòu)建安全可信軟件上貢獻(xiàn)越來(lái)越大的力量。

Gartner報(bào)告指出：“應(yīng)用安全態(tài)勢(shì)管理分析軟件開(kāi)發(fā)、部署和操作過(guò)程中的安全信號(hào)，以提高可見(jiàn)性、更高效地管理漏洞并實(shí)施控制。安全管理者可以使用ASPM來(lái)提升應(yīng)用安全效率并更好地管理風(fēng)險(xiǎn)。”據(jù)其預(yù)測(cè)，到2026年，超過(guò)40%的開(kāi)發(fā)專有應(yīng)用的企業(yè)將采用ASPM，以快速識(shí)別和解決應(yīng)用安全問(wèn)題。

付紅勛在采訪中談到，新思科技SRM基于其Code Dx 和Intelligent Orchestration智能編排產(chǎn)品的核心技術(shù)構(gòu)建，經(jīng)過(guò)重新設(shè)計(jì)和增強(qiáng)，可提供全面的ASPM解決方案。通過(guò)SRM平臺(tái)，可以實(shí)現(xiàn)AppSec計(jì)劃的“三化”和“兩快”，即管理簡(jiǎn)化、風(fēng)險(xiǎn)狀態(tài)可視化、工作流程標(biāo)準(zhǔn)化和快速確定風(fēng)險(xiǎn)優(yōu)先級(jí)、快速同步業(yè)界最佳應(yīng)用安全測(cè)試（AST）能力。

“現(xiàn)在已經(jīng)是移動(dòng)的世界了，安全和隱私問(wèn)題如影隨形。”他表示，針對(duì)此，新思科技推出了移動(dòng)應(yīng)用安全測(cè)試（MAST）工具和服務(wù)，可以通過(guò)對(duì)Android和iOS二進(jìn)制文件進(jìn)行快速、自動(dòng)化和語(yǔ)言化的靜態(tài)、動(dòng)態(tài)、交互式和API安全測(cè)試，提供廣泛的測(cè)試覆蓋。MAST允許開(kāi)發(fā)和安全團(tuán)隊(duì)分析移動(dòng)應(yīng)用的組件，包括開(kāi)源組件、第三方SDK以及可傳遞依賴項(xiàng)，并可將基于標(biāo)準(zhǔn)的自動(dòng)化安全測(cè)試集成到CI/CD。

值得一提的是，作為OPPO終端可信工程的行業(yè)伙伴，新思科技為OPPO提供了應(yīng)用安全管理產(chǎn)品和服務(wù)，包括軟件安全構(gòu)建成熟度模型（BSIMM）評(píng)估，助力OPPO落實(shí)數(shù)字化可信工程。新思科技已經(jīng)連續(xù)三年榮膺OPPO合作伙伴類(lèi)大獎(jiǎng)。

OPPO終端安全領(lǐng)域總經(jīng)理王安宇在接受采訪時(shí)表示，OPPO長(zhǎng)期以來(lái)非常注重包括軟件在內(nèi)的整體安全體系構(gòu)建。“我們提出了‘可信’概念，并構(gòu)建了4層數(shù)字化的可信框架。從基礎(chǔ)層到能力層，到業(yè)務(wù)、APP、數(shù)據(jù)、整機(jī)、芯片，然后在最上層目標(biāo)是隱私、合規(guī)、透明，希望構(gòu)筑一種‘數(shù)字化的可信’。”他談到，從軟件的需求、到設(shè)計(jì)、實(shí)施、測(cè)試、發(fā)布的各個(gè)環(huán)節(jié)，OPPO都會(huì)引入業(yè)界的最佳實(shí)踐、工具和能力，然后去構(gòu)筑OPPO的研發(fā)安全生命周期的流程和能力。

在最佳實(shí)踐方面，OPPO采用了新思科技的BSIMM評(píng)估，基于這一國(guó)際上權(quán)威的組織安全成熟度評(píng)估體系雷達(dá)圖識(shí)別企業(yè)自身在軟件安全能力上可改進(jìn)之處，然后再基于改進(jìn)產(chǎn)生的價(jià)值定義優(yōu)先級(jí)，更好地去建設(shè)整個(gè)企業(yè)的安全合規(guī)的體系。

“新思科技在我們整個(gè)閉環(huán)的軟件安全解決方案里，給了OPPO很多支持。包括SCA（軟件組成分析）和Pen Test（滲透測(cè)試）等，同時(shí)還有SAST（靜態(tài)應(yīng)用安全分析）等其它的工具和最佳實(shí)踐，共同落到我們整個(gè)的流程和體系里面，然后形成一個(gè)閉環(huán)的、可改進(jìn)的軟件安全的解決方案。這是OPPO和新思科技在軟件安全方面的一些探索。”王安宇說(shuō)到。

面對(duì)以AIGC為代表的新一輪人工智能浪潮，付紅勛認(rèn)為這對(duì)新思科技意味著更大的機(jī)會(huì)。他指出，“新思科技更擅長(zhǎng)于做的是檢測(cè)深層次的代碼里的安全隱患或者特殊的質(zhì)量隱患。我們不是做一個(gè)簡(jiǎn)單的代碼嗅探，我認(rèn)為在AIGC的年代反而是新思科技的機(jī)會(huì)。另外，我們有一些能夠幫助客戶發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞的工具和服務(wù)，比如我們的DAST（動(dòng)態(tài)應(yīng)用安全測(cè)試）服務(wù)和Seeker。今后是AIGC生成代碼的時(shí)代，有一些安全隱患普通的工具很難觸及到，而這正是我們這些產(chǎn)品的優(yōu)勢(shì)。”

此外，他表示AIGC時(shí)代的另一個(gè)機(jī)會(huì)在于，“開(kāi)源代碼片段會(huì)不斷地加到AIGC生成的代碼里。因?yàn)槲覀兘o大模型的這些訓(xùn)練輸入，它會(huì)變成一點(diǎn)一點(diǎn)的片段，可能沒(méi)有完整地引用某一大段代碼，但可能會(huì)運(yùn)用某個(gè)組件的某幾行，這些片段的檢測(cè)將會(huì)變得非常麻煩。這也正好是新思科技Black Duck非常著名的一個(gè)特性，那就是代碼片段掃描。”

據(jù)介紹，Black Duck是一款軟件組成分析工具，可提供對(duì)第三方開(kāi)源代碼的可見(jiàn)性，從而能夠在整個(gè)軟件開(kāi)發(fā)周期中管理軟件供應(yīng)鏈。當(dāng)檢測(cè)到安全風(fēng)險(xiǎn)時(shí)，Black Duck Security Advisories (BDSA) 會(huì)借助新思科技的KnowledgeBase（目前業(yè)界最全的開(kāi)源項(xiàng)目、許可證和安全信息數(shù)據(jù)庫(kù)），提供必要的信息，幫助企業(yè)掌握漏洞信息、確定優(yōu)先級(jí)別和進(jìn)行修復(fù)。

正如新思科技在一篇新聞稿中寫(xiě)到的，企業(yè)現(xiàn)在越來(lái)越意識(shí)到軟件風(fēng)險(xiǎn)等同于業(yè)務(wù)風(fēng)險(xiǎn)，可擴(kuò)展的應(yīng)用安全計(jì)劃對(duì)于高效管理軟件風(fēng)險(xiǎn)至關(guān)重要。隨著安全威脅形勢(shì)加劇，企業(yè)更加需要簡(jiǎn)化測(cè)試、分類(lèi)和風(fēng)險(xiǎn)管理，以滿足業(yè)務(wù)需要的速度管理軟件安全。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。