新思科技预测2021年软件安全行业趋势

新思科技软件质量与安全部门探讨在来年如何更快地构建安全、优质的软件

要预测未来一年的安全威胁发展趋势并非易事，安全威胁的形态和防护方式都在快速迭代，加上2020年有很多不稳定的因素，进一步加深了复杂性。尽管如此，新思科技依然能清晰看到2021年软件应用安全的六大趋势。

API安全、云应用安全及应用安全编排服务需求增加

正如DevOps在过去几年对应用安全实践所产生的深远影响一样，在新冠肺炎疫情爆发的这一年，云技术加速应用正在进一步重塑软件安全格局。

尽管DevOps呈现了软件构建、交付和运行方式的变革，但应用程序的架构、组成和定义也在迅速发生变化，并引发人们对软件安全策略的重新思考。未来一到两年，快速交付速度和云转型的双重压力将对软件安全市场产生重大影响。

在过去的五到十年，软件安全已从“扫描-报告”式的审核思维方式演变为安全保障实践，在提高安全的同时不会牺牲速度和创新。随着开源使用增加，开源和第三方组件的许可证滥用和安全漏洞风险也提高了，因此软件组成分析已经成为安全保障计划的关键。随着云基础架构、微服务和API的广泛应用，新思科技看到了应用程序在定义上也发生了类似，甚至是更大的转变——越来越多的第三方服务、API、微服务和云原生组件服务的集成都通过云提供商或托管编排平台（如Kubernetes）来进行应用编排。

新思科技软件质量与安全部门总经理Jason Schmitt表示：“为了领先于云转型，软件安全将进一步升级，成为基于风险的漏洞管理服务，作为软件构建和交付流程的一部分将安全服务自动化并进行编排。”

网上交流和数字交易激增，网络攻击的整体攻击面扩大

随着疫情在全球蔓延，网上交流和数字交易激增。同时，企业遭受网络攻击的总体攻击面也大幅增加。大多数企业对此没有充足的应对准备。

现在，企业不得不改变他们的流程、服务和技术，以达到客户期待，解决其生存危机。这要求在不损害组织和客户数据安全及隐私的情况下灵活行事。企业必须采取灵活的解决方案，同时保护企业自身及客户数据的安全和隐私。

新思科技交互式应用安全测试产品管理高级经理Asma Zubair预测道：“因此，我预计在未来的几个月，越来越多的企业将拥抱DevSecOps等概念。DevSecOps描述了一种企业文化，通过这种文化，可以优化软件开发、测试和部署实践流程，缩短发布周期并持续交付软件。交互式应用安全测试(IAST)是一种基于代理的技术，可以检测Web应用程序中的漏洞。我预计IAST在2021年的使用还会增长。”

技术和企业层面均需考虑网络安全

2020年，ISO/SAE 21434网络安全工程标准草案出台，联合国世界车辆法规协调论坛(WP.29) 对网络安全和软件更新的法规也开始采用。这些标准和法规更加重视汽车行业的网络安全，并将极大地影响汽车制造商和供应商，尤其是在未来几年。我们需要从技术及企业层面来考虑网络安全。

新思科技首席汽车安全策略师Dennis Kengo Oka指出：“这包括建立网络安全文化意识以及实现网络安全的管理和培训。此外，汽车企业在明年会需要采用网络安全工程流程，包括安全软件开发流程。随着汽车系统使用越来越多的软件，对于汽车行业来说，部署自动化解决方案以帮助在软件开发初期发现和修复软件漏洞变得非常重要。”

应用团队将更多地采用DevSecOps流程

2021年，应该正式摒弃集中、孤立的软件安全模式。许多企业最初采取的这种模式颇不成熟，因为这一做法意味着只有一个团队负责所有正在构建中的应用的安全。时间证明，这种做法不仅拖慢流程还让团队成员身心俱疲。最终，安全团队和开发团队会陷入僵局，导致应用程序安全性低且上市缓慢。

在新模型中（我们可以称之为软件安全2.0），安全与软件开发紧密结合。它贯穿于设计、实施、维护的每个阶段。安全团队提供专业知识支持，但是安全防护是自动化的，并与软件开发流程集合，可以无缝添加，从而构建出更安全、优质的产品。

新思科技高级安全策略师Jonathan Knudsen表示：“2021年，我预计在安全团队的适当支持下，越来越多的应用团队将对安全性承担全部责任。随着职责和预算的变化，应用团队将更广泛使用DevSecOps流程。凭借DevSecOps，团队可以充分利用自动化，最大限度提速，并且持续改进的企业文化使每个团队都可以对流程进行调整及优化。”

使用低代码或无代码将“Sec”（安全）真正构建到DevOps中

在过去的一年里，新思科技看到越来越多的团队使用低代码/无代码平台快速构建应用程序。应用安全测试工具（Application Security Testing，简称AST），尤其是静态应用安全测试工具（Static Application Security Testing，简称SAST）在执行代码扫描时效果最佳。SAST工具的工作方式可能需要在近期进行修改以适应这些平台。

新思科技产品管理高级总监（DevOps解决方案）Meera Rao表示：“我设想将安全内置到软件中的方式将发生变化。越来越多的AST工具将朝着提供与低代码/无代码平台相同的体验的方向发展。通过为工具提供一些输入，它们将能够生成在本地或云端无缝运行该工具所需的所有集成，就像低代码/无代码平台一样。”

大规模的安全“向左移”

目前，应用程序漏洞依然形式严峻，甚至安全设备厂商本身都有大量的易受攻击的安全漏洞。公司安全团队的地位虽然有所提高，但仍然没有受到足够的重视，并且基本上都受困于人手不足的状态。仅有的人手往往要对线上安全问题疲于奔命，很少有精力兼顾开发过程的应用安全。

安全“向左移”的概念已经开始被业界所广泛接受，开源供应链风险评估体系、研发运营安全能力成熟度模型等内容的相继发布，将使得企业更加重视开发过程中的安全活动。企业会在应用开发安全上投入更多的资源，尤其是开源组件治理、白盒代码检查等收益显著的安全活动。

新思科技软件质量与安全部门高级安全架构师杨国梁表示：“希望在2021年可以看到业界能够更大规模地将安全‘向左移’的思想在整个开发生命周期中贯彻落实，在赋予安全团队更大权力的同时，加强安全团队与开发团队的互动，共同商议更加符合企业目标的安全方案。”