作者:新思科技软件质量与安全部门高级安全架构师杨国梁
安全已被视为应用程序软件开发中最具挑战性的一部分。无论是研发团队还是管理团队都应该仔细研究最常见的应用程序安全挑战,在网络不法分子发起攻击前就提前做好防护,避免敏感数据被盗。
现在是数据时代,数据的储存和处理与软件密不可分。在当今的数字世界里,信息数据已经成为很多企业必不可少的经济生产工具。与此同时,提升软件安全性以保护重要数据的挑战与日俱增。软件应用不够安全可能会导致直接的经济损失,并且对品牌声誉、客户满意度及合规都会产生极其负面的影响。如果等到被攻击才采取措施,所有的注意力会集中在补救工作以及损害控制上,那就为时已晚。
那么企业面临的主要安全挑战是什么呢?如何克服?根据新思科技的观察和从客户那里得到的反馈,企业面临的主要挑战有以下六种:
网络安全职位人才短缺,薪水很可观。在美国,信息安全分析师在2018年的平均年薪为98350美元,而收入最高的25%分析师的工资接近127000美元。而且,根据中国在2020年7月发布的2019年城镇单位就业人员年平均工资来看,IT行业已连续四年雄踞行业榜首。相信随着企业越来越重视软件安全,优秀的软件安全专才的薪资也会水涨船高。
黑客在不断琢磨访问企业系统最简单的方法。不幸地是,即使您一直在定期测试应用程序,但因为内部资源有限,缺乏时间、技能或工具,从而无法发现所有被黑客攻击或控制的资产。攻击者还喜欢利用遗留代码中的漏洞。当开发人员重新使用已经流通了数十年的代码时,他们可能会无意间继承其技术债,其中包括安全漏洞和缺陷。
大多数公司不再遵循固定的发布周期。取而代之的是,持续集成和持续交付(CI/CD)已成为企业保持竞争力和满足客户需求的基本要求。并且这些持续发布的每一个版本功能都会带来不同级别的技术风险和业务影响,应用程序安全的编码必须能够协调和解决。
企业不仅需要处理大量频率不同的应用程序发布计划,也要顾及业务的快速发展。安全团队需要保持同步。如果没有一个完整的应用程序安全团队,但是业务需求激增,那企业只能很仓促地测试并清理代码。或者更糟的是,企业只能在软件发布后打补丁。
每种安全测试工具都有不同的优势,没有哪一款工具可以捕获一切漏洞。如果预算和资源限制,企业只能使用一个或两个安全测试工具,那就可能会错过关键漏洞。而且,如果没有能力复现和确认问题,企业可能会在误报上花费大量时间。
应用程序面临的安全状况不断变化。新的威胁和攻击大量涌现,而且新的法规提高了合规性要求。企业的软件测试和预防策略需要跟上这些变化。
面对以上软件安全挑战,企业可以做些什么?
部署软件安全计划不是一件简单的事情,有些企业会望而却步。幸运的是,还是有许多方法可以克服这些应用程序安全挑战。
比如,托管服务可以减轻安全负担,凭借按需提供的安全测试专业知识,识别业务重大漏洞,降低信息泄露风险。托管服务可以填补企业的安全资源缺口,根据当下需要选择所需的测试,包括动态应用安全测试、静态应用安全测试、渗透测试、移动应用安全测试以及托管网络安全测试等。
确保软件安全任重道远,无论是购买工具进行检测还是使用专业的托管服务,新思科技都建议企业在软件创建之初做好防护,做到安全“左移”,并贯穿在整个软件开发生命周期。
好文章,需要你的鼓励
CIO们正面临众多复杂挑战,其多样性值得关注。除了企业安全和成本控制等传统问题,人工智能快速发展和地缘政治环境正在颠覆常规业务模式。主要挑战包括:AI技术快速演进、IT部门AI应用、AI网络攻击威胁、AIOps智能运维、快速实现价值、地缘政治影响、成本控制、人才短缺、安全风险管理以及未来准备等十个方面。
北航团队发布AnimaX技术,能够根据文字描述让静态3D模型自动生成动画。该系统支持人形角色、动物、家具等各类模型,仅需6分钟即可完成高质量动画生成,效率远超传统方法。通过多视角视频-姿态联合扩散模型,AnimaX有效结合了视频AI的运动理解能力与骨骼动画的精确控制,在16万动画序列数据集上训练后展现出卓越性能。
过去两年间,许多组织启动了大量AI概念验证项目,但失败率高且投资回报率令人失望。如今出现新趋势,组织开始重新评估AI实验的撒网策略。IT观察者发现,许多组织正在减少AI概念验证项目数量,IT领导转向商业AI工具,专注于有限的战略性目标用例。专家表示,组织正从大规模实验转向更专注、结果导向的AI部署,优先考虑能深度融入运营工作流程并产生可衡量结果的少数用例。
这项研究解决了AI图片描述中的两大难题:描述不平衡和内容虚构。通过创新的"侦探式追问"方法,让AI能生成更详细准确的图片描述,显著提升了多个AI系统的性能表现,为无障碍技术、教育、电商等领域带来实用价值。