近年来不少软件安全事件成为了新闻头条,无论是软件开发商还是普通消费者对软件安全隐患都深表担忧。但也不要忽略了业界在软件安全的努力和取得的成果。在2020年即将到来之际,新思科技与业内专家探讨在过去几年对软件安全产生积极影响的趋势、流程和技术。
对于希望转向DevSecOps并构建安全的企业来说,以下三个关键领域对他们产生了巨大影响:
我看到了两种软件安全趋势,一种是在技术工具方面;另一种是工程方面。
在工具方面,大多数都集中在IAST(交互式应用安全测试)和DAST(动态应用安全测试)上。这些新技术将彻底改变应用程序的安全性。
其次是以解决方案为导向的应用程序安全性。 AppSec团队专注于发现问题,然后让开发人员修复问题。事情正在慢慢改变,现在正构建工程师可以使用的解决方案。
这就是道琼斯的发展方向。我们正在尝试面向身份验证、加密和跨站点脚本编写这类问题的通用解决方案。
对于我们来说,面向特定技术开发解决方案更容易,然后告诉开发人员:“嘿,要使用身份验证吗?这里是一个库、一个模式或一个要使用的工具。”这种以解决方案为导向的工程安全性越来越受到关注。
混合云战略始终承诺并提供更低的成本、更好的敏捷性、更高的运营效率以及更灵活的适应新技术更新换代的能力。金融机构面临的最大问题是,传统的本地存储与公共云和私有云的结合是否可以提供足够的安全性和治理措施,以抵御欺诈和数据泄露的持续威胁。
具有讽刺意味的是,尽管混合云环境会因企业不断在私有和/或本地环境与公共云之间移动数据而带来安全风险,但它们仍可以实现更大的灾难恢复和更高的数据安全性。因此,银行将处于更好的状态以实现合规性。这是因为将数据放在一个地方通常比在整个企业的多个信息孤岛中分散保护起来更容易。此外,云供应商在确保数据安全方面有着巨大的既得利益。
除了需要安全的软件(我们和其他几家公司都在这一领域开展业务)之外,还有一种新兴趋势是确保基础硬件也安全。新思科技有很大一部分业务是半导体设计,提供电子设计自动化软件工具和芯片设计构件。
我们越来越多地从合作伙伴那里听到,他们不仅希望构建像IoT设备这样的超酷且功能强大的芯片,而且还需要安全的IoT设备。他们希望确保不仅在该芯片上运行的软件是安全的,而且底层硬件也得安全。我的大部分职业生涯都是和硬件打交道,看到硬件团队的需求中出现安全性,这使我倍感兴奋。
《通用数据保护条例》(GDPR)不可避免地重塑了欧洲(乃至全世界)企业如何处理网络安全的模式。
企业采用全面的安全计划,在设计阶段将安全性深度集成到IT系统中,而不是在部署后进行改进。得益于此,企业将获得一致且更强大的数据安全性。整合安全体系结构,将其嵌入平台中并贯穿整个IT网络,这通常在解决网络安全事件和提升GDPR合规性方面更为有效。
企业越来越意识到安全问题的重要性。对软件开发人员安全培训的需求不断增长,因此他们能够从一开始就构建安全软件。随着越来越多的企业需要安全培训,安全技术也将迅速增强。有些开发人员对安全性仍然漠不关心(除非系统受到破坏),此类的培训课程有助于让他们树立“安全开发”心态。
在整个软件交付生命周期中集成安全性的公司更有可能在整个企业中贯彻DevOps实践。
我们发现,在安全集成最高级别的公司中,有22%的公司已达到DevOps演进的高级阶段。DevOps的原理和安全性的原理有异曲同工之妙,能为软件开发带来积极影响(包括文化、自动化、评估和共享),能确保出色的安全性。
浓厚的DevOps文化还支持更强的安全性。共享的文化,团队使用共同的工具进行协作并朝着共同的目标努力;交付团队拥有强大的自治能力,但是跨企业边界完成工作相对容易——这种文化可以使不同部门真正地担负起共同的安全责任,可以尽早发现问题并以最佳方式解决问题。
好文章,需要你的鼓励
美光推出新款 Crucial P510 PCIe Gen5 SSD,采用 276 层 3D NAND 闪存和群联 PS5031-E31T 控制器。该产品针对游戏和创意工作负载优化,提供高达 11,000/9,500 MBps 的读写速度,同时通过无 DRAM 设计降低成本。美光与群联的合作旨在满足当今技术用户对高性能和高效率存储的需求。
随着检索增强生成 (RAG) 技术的兴起,企业有望更好地利用大语言模型 (LLM) 和公司内部数据。RAG 技术能够将 LLM 与企业特定领域知识相结合,提升 AI 服务质量。未来,RAGOps 和智能代理等新方法将有助于 RAG 技术的大规模应用,为企业 AI 落地提供更多可能性。
HYCU 扩展了其 R-Cloud 服务,提升了数据在本地和公有云间的移动能力。升级后,客户可以更灵活地将数据放置在合适的混合或公有云环境中,优化成本。新版本支持更多基础设施,简化了备份、灾难恢复和迁移流程,实现一键式操作,帮助客户在不同平台间自由选择,避免被特定基础设施锁定。
微软计划在2025年淘汰和终止多项企业级Microsoft 365服务,不仅限于Windows 10支持的终止。这将对企业管理员带来巨大挑战,涉及Exchange Online、SharePoint、Teams等多个核心服务,需要企业提前做好准备和迁移工作。