【环球网报道 记者 张阳】近日,新思科技宣布推出软件风险管理平台(Software Risk Manager)。
据新思科技中国区应用安全技术总监付红勋称,这是一套新型应用安全态势管理 (ASPM) 解决方案。软件风险管理平台能够帮助安全和开发团队简化、协调及优化其应用安全测试,而且可以跨项目、跨团队和应用安全测试 (AST) 工具实现。
“软件风险管理平台结合了智能策略驱动的编排和漏洞管理功能与新思科技软件质量与安全部门广受市场认可的静态应用安全测试(SAST)和软件组成分析(SCA)引擎,并为其它开源和商业AST工具提供广泛支持。总的来说,新思科技的ASPM解决方案可以赋能企业持续确保安全。”付红勋说。
Gartner报告指出:“应用安全态势管理分析软件开发、部署和操作过程中的安全信号,以提高可见性、更高效地管理漏洞并实施控制。安全领导者可以使用ASPM来提升应用安全效率并更好地管理风险。”据Gartner预测,到2026年,超过40%的开发专有应用的企业将采用ASPM,以快速识别和解决应用安全问题。
付红勋表示,此时推出软件风险管理平台,也是因为在服务全球客户的时候发现,客户的应用安全项目在履行的过程中遇到了各种各样的困难或者问题,总结起来就是三“低”两“难”。
付红勋认为,第一个“低”就是投资回报率比较低。因为大家都知道做应用安全非常难,招了不少的人,买了不少的工具,花了不少的钱,但在应用发布的时候还是没有底气,感觉投资回报率比较低。
第二个“低”是对软件风险把控的准确率比较低。“我们做安全的人,最难回答的问题就是:这个产品要发布了,你觉得够安全吗?这就是我们对安全风险的把控,它的准确度通常比较低。”
第三个“低”:AppSec在执行的过程中,它的效率是很低的。因为它往往是在软件开发的不同阶段做了不同的测试,而且由不同的人去做,结果也是各式各样,这些结果在不同的团队间传来传去,效率非常的低,严重拉低了我们整个项目的吞吐量,这就是我们讲的第三个“低”。
第一个“难”:对AppSec策略的统一有效管理比较难。我们正处在一个开源的时代,我们所面临的APP有自己写的代码、有开源的代码、还有第三方供应商的代码。面对这些不同的对象,我们的AppSec策略也可能略有差别,这些策略该如何统一高效地去管理它们?这是第一个难。
还有一个“难”就是难以聚焦到关键的安全工作上。“因为有太多的测试工具给了我们太多的测试结果,里边有重复的、还有误报的。那么开发人员应该究竟优先关注哪一款软件的、哪个组件的、哪个安全问题呢?这个问题很难回答,就导致开发人员的很多工作都浪费在了非战略、非关键、非重要的安全工作上。”付红勋说。
正是基于“三低两难”的现状,新思科技认为应该推出“应用安全态势管理”这样一个平台来解决当前面临的困境。软件风险管理平台基于新思科技 Code Dx 和Intelligent Orchestration智能编排产品的核心技术构建,经过重新设计和增强,可提供全面的ASPM解决方案,使团队能够:
大规模实施政策驱动的AppSec。集中定义和实施通用安全策略,指定测试执行和漏洞管理的参数;
统一不同应用安全测试工具的用户体验。大幅度提高现有安全投资的价值,同时简化资源配置和运营,提高跨团队转换和整合工具的能力;
跨项目、团队和工具整合漏洞报告和管理。全面掌握跨工具标准化、重复数据删除和优先级的安全风险;
简化开发工作流程中的应用程序漏洞查找功能集成和编排。将安全工作流程集成到现有的开发人员工具链和系统中,并支持现有项目和构建的快速启动;
使用单一、统一的解决方案优化核心应用安全测试。借助成熟的 SAST和SCA引擎,高效部署、管理和报告核心应用安全测试功能。这些引擎也为新思科技Coverity静态应用安全测试和 Black Duck软件组成分析产品提供支持。
新思科技软件质量与安全部门总经理Jason Schmitt表示:“应用安全计划需要有效且高效地降低软件风险,以创造更高价值。许多拥抱数字化转型的企业都在努力应对大规模软件风险管理的复杂性和运营成本。 新思科技软件风险管理平台为团队提供应用安全状况的整体视图,同时加快实现价值并降低AppSec计划的总体成本。”
热门跟贴