不知不觉间，数字化浪潮已席卷各行各业，企业纷纷将数字化战略纳入到自身发展规划中。作为信息技术关键载体和产业融合关键纽带，软件在数字化进程中发挥着重要的支撑作用。

  然而，随着数字化转型的不断深入，网络安全风险也日益增加，企业越来越意识到软件风险等同于业务风险。如何提升软件安全性及可靠性，以更好地防范安全风险已迫在眉睫。

  近日，比特网采访到新思科技中国区应用安全技术总监付红勋，就AppSec计划面临的挑战、企业可采取的应对策略，以及软件风险管理平台的优势等相关话题进行了深入交流。

新思科技中国区应用安全技术总监 付红勋

  AppSec计划面临挑战？

  软件吞噬世界、开源吞噬软件。在当今数字化时代，开源软件凭借着开放、低成本、自由参与等特性成为软件开发主流，但与此同时，由于开源代码引入不清、监控不足等问题也为开发人员和安全团队带来了安全挑战。因此，有许多企业通过实施AppSec计划，以确保软件安全。

  不过，新思科技在服务全球客户的过程中，洞察到客户的应用安全计划在执行过程中遇到了各种困难和挑战。付红勋将其归纳为三“低”，两“难”：

  首先，在三“低”方面，第一个“低”是指AppSec投资回报率低。据统计，有超过50%的企业拥有多达11款AST工具，同时，为了更好地使用这些工具，也投入了大量的人力财力，但仍无法充分保障软件安全。第二个“低”是指对软件风险把控的准确率低。无法审核和查明最易受攻击的软件，从而导致合规性变得困难。第三个“低”则指的是AppSec在执行过程中效率低。应用安全是在SDLC的不同阶段进行测试，而且由不同的人去操作，结果也是各式各样，严重拉低了效率。

  其次，在两“难”方面，第一个“难”是指对AppSec策略的统一有效管理难。目前的APP不再是完全自研，而是一个混源项目，有的是自己写的、有的是开源的、还有的是第三方供应商的。面对这些不同的对象，AppSec策略也可能略有差别。第二个“难”则指的是难以聚焦到关键的安全工作上。因为有太多的测试工具给出了太多的测试结果，其中有重复的、误报的，导致开发人员的很多工作都浪费在了非战略、非关键、非重要的安全工作上。

  在付红勋看来，立足于三个“低”、两个“难”的现状，企业应该从三个方面入手，采取相应的措施：

  一是整合供应商及工具，比如SAST、SCA等领域，只保留一款或几款工具，将这些工具的接口统一起来，放到一个统一的数据仓库中。

  二是整合流程，安全活动，无论是左移还是无处不移，总是要嵌入到研发流程中的相关环节中，那么就将各个环节安全活动的政策进行整合，再进行标准化处理，以实现自动编排、调度、去重、关联分析等高效管理。

  三是整合洞察发现，实现跨团队、跨项目、跨工具对发现结果进行标准化、汇总和优先排序，并生成报告，让风险尽知。

  SRM为企业安全赋能

  Gartner发布的报告指出，应用安全态势管理分析软件开发、部署和操作过程中的安全信号，以提高可见性、更高效地管理漏洞并实施控制。安全领导者可以使用ASPM来提升应用安全效率并更好地管理风险。Gartner预测，到2026年，超过40%的开发专有应用的企业将采用ASPM，以快速识别和解决应用安全问题。

  那么，什么是ASPM，它能够解决什么问题呢？

  ASPM，即应用安全态势管理(Application Security Posture Management)。应用安全态势管理分析软件开发、部署和运维过程中的安全信号，以提高可见性、更好地管理漏洞并实施控制。安全管理者可以使用ASPM来提升应用安全效率并更好地管理风险。

  基于此，新思科技推出了软件风险管理平台(Software Risk Manager，SRM)，基于新思科技Code Dx和Intelligent Orchestration智能编排产品的核心技术构建，经过重新设计和增强，可提供全面的ASPM解决方案。

  据了解，通过SRM，客户可以通过API接口将既定业务策略、安全策略(PaC，Policy as Code，策略即代码)写进来。同时，在对一系列手工测试或AST测试工具的编排上，SRM既支持手工测试和自动化测试，又可以同时兼容新思科技自己的工具和第三方工具，能够在合适的时间，对合适的对象，开展合适的测试，并测试到合适的深度。然后，再对漏洞做关联分析，去掉重复的数据，根据所发现的问题、软件本身的价值、所定义的 SLA (Service-Level Agreement)优先级进行排序，以实现ASPM的风险可视化。

  值得一提的是，新思科技目前支持了超过135种商业或开源的AST工具，并且还将业界领先的Coverity(SAST)和Black Duck(SCA)两款工具天然集成到了SRM平台，使客户可以一站式地享受到业界SAST和SCA的扫描引擎。

  付红勋将SRM的优势总结为三“化”两“快”。即管理简化、风险可视化、工作标准化;两“快”，即快速确定风险优先级、快速同步业界领先的AppSec测试能力。具体来看：

  管理简化：由于可以将 DevOps、CI/CD工具、AST工具、缺陷跟踪工具等都统一到SRM平台，这使管理变得非常简单，避免了不同工具、不同配置的繁琐，结果得到了标准化和统一，大幅降低了跨工具、跨团队共享交流的成本。

  风险可视化：直接将违规项目映射到代码上，推送给开发人员。

  工作标准化：定义和管理策略，通过API接口将策略写入SRM平台，再由SRM根据既定的策略，在合适的时间针对合适的对象发起合适的测试，并且测试到合适的深度。

  快速确定风险优先级：SRM可以很快提示企业中最值得关注的安全风险点，也就是确定风险优先级。

  快速同步业界领先的AppSec测试能力：因为新思SRM已经将SAST的Coverity和SCA的Black Duck集成到平台中，可快速展开核心测试。

  我们看到，面对AppSec计划实施中所面临的三个“低”两个“难”，新思科技推出的ASPM解决方案SRM，实现了三个“化”和两个“快”，为企业安全提供了有效保障。

  写在最后：

  随着安全威胁形势加剧，企业更加需要简化测试、分类和风险管理，以满足业务需要的速度管理软件安全。

  作为一款功能强大的新型ASPM解决方案，SRM简化、协调及优化了安全和开发团队的应用安全测试，为企业安全踏上数字化转型之旅提供了有力支撑。