新思科技对话专家:过去几年软件安全如何改进?

2019-12-11来源: EEWORLD关键字:新思科技  软件安全

由于软件安全事件频发,相关企业不得不重视软件安全,并且积极采取应对和预防措施。在这几年,随着软件安全技术的提升和法规的出台,企业在软件安全领域也取得了长足的进展。在2020年即将到来之际,新思科技与业内专家探讨在过去几年对软件安全产生积极影响的趋势、流程和技术。

 

image.png


DevSecOps对软件安全性的影响

-          新思科技高级首席顾问Meera Rao

 

对于希望转向DevSecOps并构建安全的企业来说,以下三个关键领域对他们产生了巨大影响:

 

消除信息壁垒。不要等到错误和漏洞对应用造成破坏之后再修复它们,而应像对待DevOps流程中的任何其它错误一样对待安全问题。安全性不应是单独存在的,不应该是开发人员仅在发现安全性问题时才能从中获得反馈。此外,找到合适的协作自动化工具以使开发、质量保证和安全团队能够一起工作是DevSecOps的重要组成部分。

 

促进协作变革。企业希望弥补DevOps与安全性之间的差距,同时又保持生产率和解决方案上市速度,但他们通常没有意识到整个企业都需要进行更改。就像持续集成、持续交付和持续部署一样,开发、安全和运营团队之间也必须进行持续的协作和沟通等等。

 

培训和成就安全能手。通过建立培训和安全支持者计划,开发团队的成员可以通过指导、培训以及与应用程序安全团队密切合作,学习并自愿培养软件安全技能和意识。这些安全能手们在第一线指导开发团队应用程序安全性,弥补DevOps与安全团队之间存在的差距。

 

面向工具和解决方案的软件安全趋势

-          道琼斯产品安全总监Jay Kelath

 

我看到了两种软件安全趋势,一种是在技术工具方面;另一种是工程方面。

 

在工具方面,大多数都集中在IAST(交互式应用安全测试)和DAST(动态应用安全测试)上。这些新技术将彻底改变应用程序的安全性。

 

其次是以解决方案为导向的应用程序安全性。 AppSec团队专注于发现问题,然后让开发人员修复问题。事情正在慢慢改变,现在正构建工程师可以使用的解决方案。

 

这就是道琼斯的发展方向。我们正在尝试面向身份验证、加密和跨站点脚本编写这类问题的通用解决方案。

 

对于我们来说,面向特定技术开发解决方案更容易,然后告诉开发人员:“嘿,要使用身份验证吗?这里是一个库、一个模式或一个要使用的工具。”这种以解决方案为导向的工程安全性越来越受到关注。

 

云+合规性=更完善的数据安全

-          企业数据云公司Cloudera金融服务总经理Steven Totman 和 Richard Harmon

 

混合云战略始终承诺并提供更低的成本、更好的敏捷性、更高的运营效率以及更灵活的适应新技术更新换代的能力。金融机构面临的最大问题是,传统的本地存储与公共云和私有云的结合是否可以提供足够的安全性和治理措施,以抵御欺诈和数据泄露的持续威胁。

 

具有讽刺意味的是,尽管混合云环境会因企业不断在私有和/或本地环境与公共云之间移动数据而带来安全风险,但它们仍可以实现更大的灾难恢复和更高的数据安全性。因此,银行将处于更好的状态以实现合规性。这是因为将数据放在一个地方通常比在整个企业的多个信息孤岛中分散保护起来更容易。此外,云供应商在确保数据安全方面有着巨大的既得利益。

 

软件安全及硬件安全的趋势

-          新思科技首席安全官Deirdre Hanford

 

除了需要安全的软件(我们和其他几家公司都在这一领域开展业务)之外,还有一种新兴趋势是确保基础硬件也安全。新思科技有很大一部分业务是半导体设计,提供电子设计自动化软件工具和芯片设计构件。

 

我们越来越多地从合作伙伴那里听到,他们不仅希望构建像IoT设备这样的超酷且功能强大的芯片,而且还需要安全的IoT设备。他们希望确保不仅在该芯片上运行的软件是安全的,而且底层硬件也得安全。我的大部分职业生涯都是和硬件打交道,看到硬件团队的需求中出现安全性,这使我倍感兴奋。

  

GDPR条例的实施改善了网络安全

-          Check Point

 

《通用数据保护条例》(GDPR) 不可避免地重塑了欧洲(乃至全世界)企业如何处理网络安全的模式。

 

企业采用全面的安全计划,在设计阶段将安全性深度集成到IT系统中,而不是在部署后进行改进。得益于此,企业将获得一致且更强大的数据安全性。整合安全体系结构,将其嵌入平台中并贯穿整个IT网络,这通常在解决网络安全事件和提升GDPR合规性方面更为有效。

 

软件安全培训日趋增多

-          新思科技高级安全顾问Mahesh Kukreja

 

企业越来越意识到安全问题的重要性。对软件开发人员安全培训的需求不断增长,因此他们能够从一开始就构建安全软件。随着越来越多的企业需要安全培训,安全技术也将迅速增强。有些开发人员对安全性仍然漠不关心(除非系统受到破坏),此类的培训课程有助于让他们树立“安全开发”心态。

 

做好DevOps有助于提升安全性

-          Puppet, CircleCI和Splunk,出自2019 State of DevOps Report

 

在整个软件交付生命周期中集成安全性的公司更有可能在整个企业中贯彻DevOps实践。

 

我们发现,在安全集成最高级别的公司中,有22%的公司已达到DevOps演进的高级阶段。DevOps的原理和安全性的原理有异曲同工之妙,能为软件开发带来积极影响(包括文化、自动化、评估和共享),能确保出色的安全性。

 

浓厚的DevOps文化还支持更强的安全性。共享的文化,团队使用共同的工具进行协作并朝着共同的目标努力;交付团队拥有强大的自治能力,但是跨企业边界完成工作相对容易—— 这种文化可以使不同部门真正地担负起共同的安全责任,可以尽早发现问题并以最佳方式解决问题。

 


关键字:新思科技  软件安全 编辑:muyan 引用地址:http://news.eeworld.com.cn/qrs/ic482636.html 本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:UltraSoC开源RISC-V追踪实现技术,推动真正的开源开发
下一篇:RISC-V基金会创始成员晶心科技晋升为白金会员

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

新思科技陈志宽讲述中国芯历史的“奇点”
“刀耕火种”的方式进行集成电路设计,而此时替代手工的EDA工具早已在国际上流行了十余年。 在这一片混沌中,引爆未来25年发展的奇点出现了——中国集成电路人第一次接触到了EDA工具。1995年,时任新思科技副总陈志宽博士代表公司将当时价值数百万美元的20套Design Compiler逻辑综合工具捐赠给清华大学,并成立“清华大学——新思科技高层次电子设计中心”,为中国集成电路人打开了一扇面向国际前沿集成电路设计方法学的窗户,让EDA工具第一次进入中国集成电路行业的视野,也让中国集成电路人看到了自身的差距,激起了追赶的决心。而从这个北京乃至全国最好的EDA实验室里,走出了众多中国集成电路行业的中坚力量。  在当
发表于 2020-03-18
新思科技陈志宽讲述中国芯历史的“奇点”
百度携手新思科技实现算法和芯片早期优化并缩短运算时间
新思科技宣布,将与百度(纳斯达克股票代码:BIDU)持续深化合作,助力实现其“让计算更加智能”的愿景。百度人工智能芯片“昆仑”已采用新思科技全流程解决方案。 此前发布的百度AI芯片“昆仑”基于先进深亚微米工艺技术,在100W+功耗下可提供260 TFLOPS的性能及512 GB/s的带宽。除了拥有深度学习算法之外,还可以适配自然语言处理、大规模语音识别、自动驾驶等终端场景计算要求。 百度主任架构师欧阳剑先生表示:“百度拥有超过8年的AI加速器和处理器研发及大规模部署经验,加上新思科技受广泛认可且经验证的全流程解决方案,能够帮助我们提高芯片通用灵活性、计算能力及能耗效率,以更好应对普适AI芯片架构所面临的极大挑
发表于 2020-03-11
新思科技解析如何降低并购时API和Web服务风险
在技术并购中,对软件本身的尽职调查必须考虑其体系结构和代码。体系结构提供了基础,定义了如何汇编和构造代码;深入研究代码,可能会发现技术缺陷,包括错误、安全漏洞、许可问题以及其它需要修改代码的问题。 如今,相比编写代码,开发人员更可能为他们的应用程序组装代码。当然,他们仍会编写关键的业务的代码。但是,代码库中包含多达90%的开源或第三方组件,开发人员可将代码重用于常见功能,节约时间。有一种可重用的组件类型是基于API的Web服务,其中许多可免费用于开发基本功能。但是,使用基于API的Web服务可能会产生版权、最终用户许可、使用条款以及数据和隐私政策等相关问题。 开发人员经常在互联网上找到适用于其应用程序的有用API
发表于 2020-03-11
新思科技解析如何降低并购时API和Web服务风险
三星为汽车安全部署新思科技TestMAX XLBIST动态系统内测试解决方案
作为更广泛合作的一部分,合作目标是实现ASIL-D级设计安全进行功能安全和制造测试新思科技TestMAX XLBIST解决方案通过克服阻碍传统自测试解决方案的硅问题,提供更高的故障覆盖率和更短的测试时间新思科技TestMAX XLBIST是新思科技TestMAX产品系列的最新成员,该产品系列用于实现RTL-to-GDSII测试新思科技(Synopsys, Inc.,纳斯达克股票代码:SNPS)近日宣布,三星成功在其汽车集成电路上部署了新思科技TestMAX™ XLBIST解决方案,提供关键故障的动态系统内测试,以满足严苛的功能安全要求。汽车技术的加速发展意味着需要更多的汽车芯片来满足自动驾驶和高级驾驶辅助系统(ADAS
发表于 2020-02-28
勠力同心,共克时艰,新思科技为抗击疫情捐赠350万
新思科技宣布捐赠350万元人民币,共同抗击在中国的新型冠状病毒肺炎疫情。该笔捐款一部分将被紧急应用于资助一线医院和社会急需防护用品的采购及相关疾病救治工作;另一部分则将作为医务人员关爱金,为抗击疫情而奋战在一线的医护人员提供保障和关爱。 自疫情发生以来,新思科技就密切关注社会抗击疫情的救治工作,新思员工也都积极行动,献上自己的一份力量并在第一时间倡议本次捐款。新思科技和全体员工一同向那些逆流而上,奋战在前线的医护人员及广大的志愿者们致以最崇高的敬意。 深耕中国25年的新思科技是中国社会的一员,我们将与全社会一同持续关注抗击疫情的工作,同时尽最大努力保障员工的健康与安全,并为合作伙伴提供必要的支持,息息与共,勠力
发表于 2020-02-27
勠力同心,共克时艰,新思科技为抗击疫情捐赠350万
新思科技Seeker交互式应用安全测试保障以色列航空安全航行
新思科技Seeker交互式应用安全测试易于在 CI / CD 开发工作流程中进行部署和扩展。用户无需大量配置、自定义服务或调整,即可获得直接可用的准确结果。Seeker 在正常测试期间监视后台的 Web 应用交互,并能快速处理数十万个 HTTP 请求,在几秒钟内提供结果,误报率几乎为零,而且无需运行手动安全扫描。 凭借着以上优势,新思科技 Seeker交互式应用安全测试成为以色列航空开展应用程序安全计划的首选。 以色列航空简介 以色列航空(TASE:ELAL)拥有6,000多名员工,是以色列的国家航空公司,每年运载旅客超过550万人次。以色列航空经常面临网络威胁,必须保持最高级别的应用程序安全性,以防
发表于 2020-02-26
新思科技Seeker交互式应用安全测试保障以色列航空安全航行
小广播
何立民专栏 单片机及嵌入式宝典

北京航空航天大学教授,20余年来致力于单片机与嵌入式系统推广工作。

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2020 EEWORLD.com.cn, Inc. All rights reserved