雖然2020年有很多不穩(wěn)定的因素，而且疫情下的軟件安全形勢更加復雜，但是新思科技依然能清晰看到2021年軟件應用安全的六大趨勢。新思科技軟件質(zhì)量與安全部門相信隨著軟件安全投入持續(xù)增加，市場規(guī)模將進一步擴大，發(fā)展?jié)摿σ矊⒏嗟乇患ぐl(fā)出來。掌握未來趨勢，有助于在來年更快地構(gòu)建安全、優(yōu)質(zhì)的軟件。

　　1.API安全、云應用安全及應用安全編排服務需求增加

　　正如DevOps在過去幾年對應用安全實踐所產(chǎn)生的深遠影響一樣，在新冠肺炎疫情爆發(fā)的這一年，云技術加速應用正在進一步重塑軟件安全格局。

　　盡管DevOps呈現(xiàn)了軟件構(gòu)建、交付和運行方式的變革，但應用程序的架構(gòu)、組成和定義也在迅速發(fā)生變化，并引發(fā)人們對軟件安全策略的重新思考。未來一到兩年，快速交付速度和云轉(zhuǎn)型的雙重壓力將對軟件安全市場產(chǎn)生重大影響。

　　在過去的五到十年，軟件安全已從“掃描-報告”式的審核思維方式演變?yōu)榘踩Ｕ蠈嵺`，在提高安全的同時不會犧牲速度和創(chuàng)新。隨著開源使用增加，開源和第三方組件的許可證濫用和安全漏洞風險也提高了，因此軟件組成分析已經(jīng)成為安全保障計劃的關鍵。隨著云基礎架構(gòu)、微服務和API的廣泛應用，新思科技看到了應用程序在定義上也發(fā)生了類似，甚至是更大的轉(zhuǎn)變--越來越多的第三方服務、API、微服務和云原生組件服務的集成都通過云提供商或托管編排平臺（如Kubernetes）來進行應用編排。

　　新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示：“為了領先于云轉(zhuǎn)型，軟件安全將進一步升級，成為基于風險的漏洞管理服務，作為軟件構(gòu)建和交付流程的一部分將安全服務自動化并進行編排?！?/p>

　　2.網(wǎng)上交流和數(shù)字交易激增，網(wǎng)絡攻擊的整體攻擊面擴大

　　隨著疫情在全球蔓延，網(wǎng)上交流和數(shù)字交易激增。同時，企業(yè)遭受網(wǎng)絡攻擊的總體攻擊面也大幅增加。大多數(shù)企業(yè)對此沒有充足的應對準備。

　　現(xiàn)在，企業(yè)不得不改變他們的流程、服務和技術，以達到客戶期待，解決其生存危機。這要求在不損害組織和客戶數(shù)據(jù)安全及隱私的情況下靈活行事。企業(yè)必須采取靈活的解決方案，同時保護企業(yè)自身及客戶數(shù)據(jù)的安全和隱私。

　　新思科技交互式應用安全測試產(chǎn)品管理高級經(jīng)理Asma Zubair預測道：“因此，我預計在未來的幾個月，越來越多的企業(yè)將擁抱DevSecOps等概念。DevSecOps描述了一種企業(yè)文化，通過這種文化，可以優(yōu)化軟件開發(fā)、測試和部署實踐流程，縮短發(fā)布周期并持續(xù)交付軟件。交互式應用安全測試（IAST）是一種基于代理的技術，可以檢測Web應用程序中的漏洞。我預計IAST在2021年的使用還會增長。”

　　3.技術和企業(yè)層面均需考慮網(wǎng)絡安全

　　2020年，ISO / SAE 21434網(wǎng)絡安全工程標準草案出臺，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（WP.29） 對網(wǎng)絡安全和軟件更新的法規(guī)也開始采用。這些標準和法規(guī)更加重視汽車行業(yè)的網(wǎng)絡安全，并將極大地影響汽車制造商和供應商，尤其是在未來幾年。我們需要從技術及企業(yè)層面來考慮網(wǎng)絡安全。

　　新思科技首席汽車安全策略師Dennis Kengo Oka指出：“這包括建立網(wǎng)絡安全文化意識以及實現(xiàn)網(wǎng)絡安全的管理和培訓。此外，汽車企業(yè)在明年會需要采用網(wǎng)絡安全工程流程，包括安全軟件開發(fā)流程。隨著汽車系統(tǒng)使用越來越多的軟件，對于汽車行業(yè)來說，部署自動化解決方案以幫助在軟件開發(fā)初期發(fā)現(xiàn)和修復軟件漏洞變得非常重要?！?/p>

　　4.應用團隊將更多地采用DevSecOps流程

　　2021年，應該正式摒棄集中、孤立的軟件安全模式。許多企業(yè)最初采取的這種模式頗不成熟，因為這一做法意味著只有一個團隊負責所有正在構(gòu)建中的應用的安全。時間證明，這種做法不僅拖慢流程還讓團隊成員身心俱疲。最終，安全團隊和開發(fā)團隊會陷入僵局，導致應用程序安全性低且上市緩慢。

　　在新模型中（我們可以稱之為軟件安全2.0），安全與軟件開發(fā)緊密結(jié)合。它貫穿于設計、實施、維護的每個階段。安全團隊提供專業(yè)知識支持，但是安全防護是自動化的，并與軟件開發(fā)流程集合，可以無縫添加，從而構(gòu)建出更安全、優(yōu)質(zhì)的產(chǎn)品。

　　新思科技高級安全策略師Jonathan Knudsen表示：“2021年，我預計在安全團隊的適當支持下，越來越多的應用團隊將對安全性承擔全部責任。隨著職責和預算的變化，應用團隊將更廣泛使用DevSecOps流程。憑借DevSecOps，團隊可以充分利用自動化，最大限度提速，并且持續(xù)改進的企業(yè)文化使每個團隊都可以對流程進行調(diào)整及優(yōu)化?！?/p>

　　5.使用低代碼或無代碼將“Sec”（安全）真正構(gòu)建到DevOps中

　　在過去的一年里，新思科技看到越來越多的團隊使用低代碼/無代碼平臺快速構(gòu)建應用程序。應用安全測試工具（Application Security Testing，簡稱AST），尤其是靜態(tài)應用安全測試工具（Static Application Security Testing，簡稱SAST）在執(zhí)行代碼掃描時效果最佳。SAST工具的工作方式可能需要在近期進行修改以適應這些平臺。

　　新思科技產(chǎn)品管理高級總監(jiān)（DevOps解決方案）Meera Rao表示：“我設想將安全內(nèi)置到軟件中的方式將發(fā)生變化。越來越多的AST工具將朝著提供與低代碼/無代碼平臺相同的體驗的方向發(fā)展。通過為工具提供一些輸入，它們將能夠生成在本地或云端無縫運行該工具所需的所有集成，就像低代碼/無代碼平臺一樣?！?/p>

　　6.大規(guī)模的安全“向左移”

　　目前，應用程序漏洞依然形式嚴峻，甚至安全設備廠商本身都有大量的易受攻擊的安全漏洞。公司安全團隊的地位雖然有所提高，但仍然沒有受到足夠的重視，并且基本上都受困于人手不足的狀態(tài)。僅有的人手往往要對線上安全問題疲于奔命，很少有精力兼顧開發(fā)過程的應用安全。

　　安全“向左移”的概念已經(jīng)開始被業(yè)界所廣泛接受，開源供應鏈風險評估體系、研發(fā)運營安全能力成熟度模型等內(nèi)容的相繼發(fā)布，將使得企業(yè)更加重視開發(fā)過程中的安全活動。企業(yè)會在應用開發(fā)安全上投入更多的資源，尤其是開源組件治理、白盒代碼檢查等收益顯著的安全活動。

　　新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁表示：“希望在2021年可以看到業(yè)界能夠更大規(guī)模地將安全‘向左移’的思想在整個開發(fā)生命周期中貫徹落實，在賦予安全團隊更大權力的同時，加強安全團隊與開發(fā)團隊的互動，共同商議更加符合企業(yè)目標的安全方案。”