參加世界上任何一個重要的安全會議，您都會經(jīng)常聽到這樣的評論：企業(yè)提高其軟件安全性的最佳方法是使開發(fā)和運營團隊能更輕松地將軟件“內(nèi)置安全性”。

這一論點在全球性安全大會RSA上也得到驗證。RSA 2020安全大會在美國舊金山舉行，期間有一場” DevOps Connect：DevSecOps Days”全天系列會議備受矚目，通過小組討論和主題演講等形式探討企業(yè)如何將安全更加無縫地內(nèi)置到軟件開發(fā)和運營中。

[[316563]]

新思科技是該系列會議的贊助商，在RSA大會上宣布了近期的新舉措，以支持DevOps的安全組件更加易用。

首先，新思科技發(fā)布Polaris軟件完整性平臺的重大更新，通過Code Sight IDE 插件的本機集成將其靜態(tài)應用安全測試(SAST)和軟件組成分析(SCA)的功能擴展到開發(fā)人員的桌面。這些功能在同類解決方案中是史無前例的，將使開發(fā)人員能夠主動查找并修復專有代碼中的安全缺陷以及開源代碼依賴項中的已知漏洞，而無需離開他們的交互式開發(fā)環(huán)境(IDE)。

簡而言之，這將使得軟件構(gòu)建更加安全、簡易和快速。

新思科技產(chǎn)品營銷總監(jiān)Patrick Carey指出開發(fā)團隊與安全之間持續(xù)存在緊張關系的原因：開發(fā)人員將安全視為“具有破壞性的”。

為什么這么說呢?在標準工作流程中報告缺陷時，開發(fā)人員已移至下一個任務。要糾正問題，他們必須中斷正在做的事情，然后返回，重新打開代碼，進行修復，然后重新測試。

但是，最新版本的Code Sight IDE 插件通過幫助開發(fā)人員在構(gòu)建軟件時發(fā)現(xiàn)并解決專有和開放源代碼的問題來解決這個沖突，而不是切換工具或中斷他們的工作流程。

Patrick Carey表示：“這將從根本上改變開發(fā)人員在開發(fā)過程中檢測、分析和補救安全風險的方式。”

再者，新思科技已完成對Tinfoil Security的收購。Tinfoil Security總部位于美國加利福尼亞州，是一家動態(tài)應用安全測試(DAST)和應用程序接口(API)安全測試解決方案的創(chuàng)新提供商。

通過收購Tinfoil Security，新思科技可擴展其DAST應用，并添加API安全測試功能。Tinfoil Security的DAST技術(shù)可以無縫集成到開發(fā)和DevOps工作流程中。此外，Tinfoil Security創(chuàng)新的API掃描技術(shù)可滿足市場上不斷增長的需求，為新思科技的產(chǎn)品組合系列錦上添花。

Tinfoil Security的Web掃描解決方案是下一代DAST技術(shù)，可識別Web應用程序上的漏洞，并與DevOps工作流程緊密集成。Tinfoil Security API掃描程序可檢測API中的漏洞，包括與Web連接的設備(如移動后端服務器、IoT設備以及任何RESTful API)。

無論是下一代DAST技術(shù)還是API安全測試功能，都是新思科技首席科學家Sammy Migues曾提出的“軟件安全的巨變”。

Sammy Migues在RSA大會上發(fā)表了“下一代軟件安全遷移”(The next great software security migration)的演講。Sammy Migues是新思科技軟件安全構(gòu)建成熟度模型(BSIMM)聯(lián)合作者之一，從第一個版本就已經(jīng)參與報告的編寫。2019年發(fā)布的第十個版本 BSIMM10已經(jīng)強調(diào)這些變化。

Sammy Migues介紹道：“這些變化有可能解決大家都對當今的軟件安全計劃(SSI)不滿意的許多問題，包括對抗性關系、不合理的磨擦、人工密集的工作、容易出錯的過程以及系統(tǒng)上有缺陷的軟件。”

以不降低速度的方式將安全性引入軟件開發(fā)中。“充分利用敏捷過程、CI / CD工具和DevOps文化的優(yōu)勢，使我們能夠消除一些技術(shù)債務，定義一些策略，進而做出我們期待的改變。”

早在2011年，Sammy Migues是第一位提出安全“向左移”(shift left)的人?，F(xiàn)在，“向左移”已經(jīng)是個業(yè)內(nèi)熟知的術(shù)語，表示在軟件開發(fā)之初就已經(jīng)開始構(gòu)建安全性，而不是等到開發(fā)結(jié)束后。

“文化”是DevSecOps Days活動的主要議題。在一場“ DevSecOps和破壞性發(fā)展”的小組討論中，與會人員同意將這三個團隊結(jié)合在一起并不是技術(shù)問題，而是人為問題，這與今年RSA大會的主題非常契合：“人為因素” (Human Element)。

該小組討論的成員包括Equifax首席轉(zhuǎn)型官Sean Davis; Attivo Networks顧問Chris Roberts;英特爾全球網(wǎng)絡安全政策總監(jiān)Amit Elazari;主持人Charlene Li(The Disruption Mindset《顛覆性思維》的作者)。他們都認為變革是“痛苦的”，也需要人的合作，這是取得進步的唯一途徑。

Sean Davis表示：“開發(fā)、安全和運營團隊互相有怨言，他們并不理解不同團隊的工作或者彼此也不溝通。這些團隊的領頭人能將不同團隊的人員凝聚在一起，才有更大的機會取得成功。”

Chris Roberts表示：“這意味著不同團隊的協(xié)作，而不是單打獨斗。如果完全獨立運作，可能實現(xiàn)不了目標;攜手合作則更容易向成功邁進。當遇到問題的時候，需要想的是我們 - 而不是我，要如何解決問題。”