《軟件供應(yīng)鏈安全解決方案》系列訪談邀請(qǐng)到一家長(zhǎng)期專注于DevSecOps,、軟件供應(yīng)鏈安全領(lǐng)域的老牌企業(yè)——杭州孝道科技有限公司(在業(yè)內(nèi)大家更習(xí)慣于用另外一個(gè)名字去稱呼他們——安全玻璃盒,因此以下內(nèi)容均使用這一名稱進(jìn)行闡述),接下來,,我們就一同了解一下他們?cè)谠擃I(lǐng)域的積累和思考,。
安全玻璃盒聯(lián)合創(chuàng)始人,、CTO徐鋒于訪談中表示,在早期剛開始涉及開發(fā)安全乃至軟件供應(yīng)鏈安全這個(gè)領(lǐng)域時(shí),,能夠感受到市場(chǎng)層面對(duì)其仍缺乏關(guān)注,雖然當(dāng)前基礎(chǔ)安全建設(shè)已基本完善,,但應(yīng)用的內(nèi)生安全仍未能夠獲得足夠的重視,。對(duì)于國(guó)內(nèi)市場(chǎng),目前仍然處在一個(gè)起步階段,,無論是DevSecOps還是安全左移的概念,,雖已被逐步接受和認(rèn)可,可在實(shí)際落地過程中,,客戶群體仍主要是以部分行業(yè)的頭部企業(yè)為主,,想要傳導(dǎo)到腰部或尾部的用戶,仍需要一個(gè)相對(duì)較長(zhǎng)的過程,。
在談到用戶需求時(shí),,徐鋒則從以下幾個(gè)方面進(jìn)行了闡述:
1、頭部用戶(客戶),。這類用戶的特點(diǎn)是在整體網(wǎng)絡(luò)安全投入的資源以及預(yù)算等方面較為充足,在實(shí)踐以及落地方面都有著一定的能力和經(jīng)驗(yàn),。如部分互聯(lián)網(wǎng),、金融等行業(yè)的大型企業(yè),對(duì)包括開發(fā)安全在內(nèi)的各個(gè)方面關(guān)注較早,,在SDL體系的落地方面也普遍做得較為到位,。對(duì)于這類用戶群體,在開發(fā)安全層面更多是需要引入專業(yè)的能力(如IAST,、SCA等),,隨后他們依靠自身能力去協(xié)同第三方做好整體平臺(tái)的集成,形成DevSecOps工具鏈,。
2,、腰部用戶(客戶)。這類用戶的特點(diǎn)是盡管也具有一定規(guī)模,,但在網(wǎng)絡(luò)安全資源的投入方面同頭部客戶差距較大,,且安全團(tuán)隊(duì)、人員相對(duì)要少很多,,普遍缺乏相關(guān)安全建設(shè)的能力和經(jīng)驗(yàn),,但業(yè)務(wù)需求端對(duì)產(chǎn)品的上線、迭代速度要求同樣很高,,因此,,它們所面臨的應(yīng)用安全風(fēng)險(xiǎn)同樣具有較高的風(fēng)險(xiǎn)。相比之下,,此類用戶群體對(duì)整體解決方案的需求更高,,從咨詢,、產(chǎn)品再到整個(gè)DevSecOps工具鏈建設(shè)的支持都需要專業(yè)力量去協(xié)助和支撐完成。
除此之外,,他還特別提到了一種類型的用戶群體——無開發(fā)團(tuán)隊(duì)用戶,。這類用戶的特點(diǎn)是自身沒有開發(fā)團(tuán)隊(duì)和人員,在軟件產(chǎn)品開發(fā)過程中,,他們所參與的只是早期提出需求的階段,,剩余所有開發(fā)過程都以外包的方式交予外部軟件供應(yīng)商完成。徐鋒表示,,由于各種原因,,這類用戶對(duì)于供應(yīng)商的安全管理難以到位,因此會(huì)面臨的問題更為嚴(yán)重,,比如在應(yīng)用交付時(shí),,涉及安全層面存在很多盲區(qū)——交付時(shí)有無進(jìn)行過安全測(cè)試、是否存在漏洞,、軟件組成成分是否清晰,、API接口情況如何等等,如果這其中任何一個(gè)點(diǎn)存有安全隱患,,那么后期安全風(fēng)險(xiǎn)就會(huì)增大,。
針對(duì)這類用戶群體,他們所需要的其實(shí)也是一整套解決方案,,這也是接下來我們要介紹到的安全玻璃盒旗下的解決方案之一—新一代數(shù)字化應(yīng)用安全平臺(tái),。
“All In One”新一代數(shù)字化應(yīng)用安全平臺(tái)
深度融合三大能力 支撐用戶開發(fā)安全建設(shè)
面對(duì)不同用戶的不同特點(diǎn)以及需求,安全玻璃盒除了不斷地研發(fā),、迭代自身產(chǎn)品,,讓安全能力獲得持續(xù)性提升之外,還有機(jī)的將旗下產(chǎn)品進(jìn)行融合,,并以平臺(tái)的形式交付給用戶,。據(jù)了解,新一代數(shù)字化應(yīng)用安全平臺(tái)包含了安全玻璃盒的三大安全原子能力,,分別是IAST(交互式應(yīng)用安全測(cè)試系統(tǒng)),、開源組件安全檢測(cè)與分析系統(tǒng)(SCA)以及RASP(應(yīng)用的自適應(yīng)免疫防護(hù))。
需要強(qiáng)調(diào)的是,,該平臺(tái)并非是簡(jiǎn)單將三個(gè)產(chǎn)品能力合并在一起,,“這三個(gè)能力之間都是有深度耦合以及智能協(xié)同的?!毙熹h告訴我們,,這個(gè)平臺(tái)還有一個(gè)顯著特點(diǎn)——只需部署一個(gè)agent,就可以實(shí)現(xiàn)這三個(gè)能力,?!斑@意味著用戶在做交互式應(yīng)用安全測(cè)試時(shí),,就可以同時(shí)有能力去針對(duì)漏洞的可達(dá)性、可利用性進(jìn)行測(cè)試,,相當(dāng)于將組件安全和IAST有機(jī)的結(jié)合起來,。”
另外,,借助于深度融合的優(yōu)勢(shì),,在測(cè)試過程中遺留下來的包括應(yīng)用程序的輸入輸出、執(zhí)行指紋等數(shù)據(jù),,可以保留到應(yīng)用的運(yùn)行階段,,為RASP提供更為精準(zhǔn)的防御算法。特別值得一提的是,,在借助IAST所提供的數(shù)據(jù)進(jìn)一步提高防護(hù)精度的同時(shí),,還能實(shí)現(xiàn)補(bǔ)強(qiáng)IAST,針對(duì)這一點(diǎn),,徐鋒介紹道,,RASP是在執(zhí)行點(diǎn)進(jìn)行風(fēng)險(xiǎn)函數(shù)的插樁,當(dāng)發(fā)現(xiàn)攻擊行為所利用的是前期IAST沒有覆蓋到的漏洞,,相關(guān)數(shù)據(jù)就會(huì)并入到IAST中,,從而補(bǔ)強(qiáng)IAST的污點(diǎn)分析能力,令平臺(tái)對(duì)該用戶的安全能力實(shí)現(xiàn)有針對(duì)性地提升,,從而更充分發(fā)揮出其在安全效能上的優(yōu)勢(shì)。
通過他的簡(jiǎn)單介紹可以看出,,在新一代數(shù)字化應(yīng)用安全平臺(tái)中,,是真正實(shí)現(xiàn)了三大能力的有機(jī)融合,事實(shí)上,,也正是由于這種融合,,令其相比傳統(tǒng)的所謂“縫合怪”類型產(chǎn)品,不僅在能力上還是在易用性上,,都有顯著提升,,更有效保障用戶的應(yīng)用從開發(fā)到上線整個(gè)周期的安全。同時(shí)我們還了解到,,新一代數(shù)字應(yīng)用安全解決方案也是安全玻璃盒能夠獲得成為IDC Innovators中國(guó)DevSecOps技術(shù)創(chuàng)新者的重要技術(shù)點(diǎn),。
圖1:安全玻璃盒-新一代數(shù)字化應(yīng)用安全平臺(tái)
據(jù)我們所接觸到的一個(gè)應(yīng)用該解決方案實(shí)際案例,其可實(shí)現(xiàn)的功能主要有以下幾點(diǎn):
01 實(shí)現(xiàn)在線全面精確可視化的動(dòng)態(tài)代碼檢測(cè),、應(yīng)用漏洞檢測(cè),,可利用漏洞驗(yàn)證與溯源和代碼免疫防御能力,同時(shí)具備包括漏洞代碼片段,、傳播路徑,、修復(fù)示例,、可利用漏洞的驗(yàn)證溯源過程以及受攻擊事件過程等定位和分析能力;
02 基于運(yùn)行時(shí)開源軟件供應(yīng)鏈安全的漏洞檢測(cè)與許可分析,、漏洞自動(dòng)化驗(yàn)證和自適應(yīng)防護(hù)能力,;
03 具備全量 API 發(fā)現(xiàn)、漏洞檢測(cè)和自適應(yīng)防護(hù)能力,;
04 具備敏感信息檢測(cè)和應(yīng)用數(shù)據(jù)安全合規(guī)性檢測(cè)分析(個(gè)人信息保護(hù)法,、GDPR、 PCI DSS 等),;
05 自定義算法引擎和漏洞風(fēng)險(xiǎn)全生命周期管理,;
06 全面精確可視化的實(shí)時(shí)風(fēng)險(xiǎn)感知,包括代碼漏洞,、應(yīng)用漏洞,、開源軟件供應(yīng)鏈漏洞與許可分析、全量 API 發(fā)現(xiàn)和漏洞檢測(cè)以及可利用漏洞驗(yàn)證和受攻擊事件過程,。
據(jù)介紹,,由于其建設(shè)和部署都是基于數(shù)字應(yīng)用核心底層架構(gòu)的特點(diǎn),對(duì)于應(yīng)用的上層業(yè)務(wù),,無論是金融,、醫(yī)療、公共服務(wù)和平臺(tái)服務(wù)以及數(shù)據(jù)活動(dòng)都能實(shí)現(xiàn)源頭的安全賦能,、全生命周期的安全防護(hù),。
軟件供應(yīng)鏈安全解決方案
從源頭助力企業(yè)數(shù)字業(yè)務(wù)安全運(yùn)轉(zhuǎn)
由于軟件供應(yīng)鏈攻擊本身具有低成本、高效率的特點(diǎn),,因此具有極強(qiáng)的擴(kuò)散性和傳導(dǎo)性,,與之相關(guān)的安全事件在近兩年來更是被頻繁爆出,除了軟件開發(fā)者自身?yè)p失之外,,還會(huì)對(duì)其供應(yīng)鏈下游的軟件客戶/用戶群體制造威脅,,其風(fēng)險(xiǎn)之大已經(jīng)讓軟件供應(yīng)鏈安全成為全球關(guān)注的重點(diǎn)領(lǐng)域之一。
依靠自身常年在開發(fā)安全領(lǐng)域積累的經(jīng)驗(yàn)和能力,,安全玻璃盒也適時(shí)推出了軟件供應(yīng)鏈安全解決方案,。徐鋒告訴我們,軟件供應(yīng)鏈安全融合了整個(gè)安全開發(fā)的全生命周期,,因此相應(yīng)的解決方案也應(yīng)覆蓋這一周期,。
軟件供應(yīng)鏈可以大致分為開發(fā)、交付,、運(yùn)行三個(gè)環(huán)節(jié),,每個(gè)環(huán)節(jié)都可能會(huì)引入軟件供應(yīng)鏈安全風(fēng)險(xiǎn)從而遭受攻擊。軟件開發(fā)環(huán)節(jié)的安全防護(hù)相對(duì)來說比較薄弱,,而且作為軟件供應(yīng)鏈的上游環(huán)節(jié),,軟件開發(fā)環(huán)節(jié)的安全問題會(huì)傳導(dǎo)到下游環(huán)節(jié)并被放大,。而攻擊者歷來追逐性價(jià)比最高的攻擊方式,所以攻擊左移是攻擊者的自然選擇,,因而這也對(duì)開發(fā)安全領(lǐng)域的公司和產(chǎn)品提出了更高的要求,,
因此,安全必須要盡可能早的融入到軟件開發(fā)流程之中,,徐鋒介紹道,,安全玻璃盒推出的軟件供應(yīng)鏈安全解決方案會(huì)在軟件開發(fā)過程中的設(shè)計(jì)階段開始介入,包括框架選型的支持,,而且除了提供相應(yīng)的漏洞信息之外,,還會(huì)加入包括對(duì)相關(guān)社區(qū)的成熟度、項(xiàng)目的成熟度,、是否有執(zhí)行嚴(yán)格的安全策略等多個(gè)維度進(jìn)行評(píng)估,。如幫助甲方去分析相關(guān)框架、項(xiàng)目的主導(dǎo)公司是否值得信任,,包括對(duì)過往的記錄,、當(dāng)前的表現(xiàn)以及對(duì)其未來的預(yù)期做出分析和判斷,以避免甲方在開發(fā)過程中或是開發(fā)完成后的軟件運(yùn)營(yíng)過程中,,因該框架,、項(xiàng)目的主導(dǎo)公司出現(xiàn)問題而導(dǎo)致自身的軟件在后續(xù)開發(fā)、運(yùn)營(yíng)過程中出現(xiàn)問題而導(dǎo)致業(yè)務(wù)受損的情況出現(xiàn),。
在我們看來,,這種服務(wù)極為重要,畢竟前期盡可能的規(guī)避風(fēng)險(xiǎn)遠(yuǎn)比后期彌補(bǔ)風(fēng)險(xiǎn)在成本上更具可控性,,無論是上述哪種類型的用戶,,都應(yīng)力爭(zhēng)做到這一點(diǎn)。
圖2:安全玻璃盒-軟件供應(yīng)鏈安全解決方案總體架構(gòu)
應(yīng)用運(yùn)行時(shí)安全也是軟件供應(yīng)鏈安全中極為重要的一個(gè)環(huán)節(jié),,徐鋒表示,在應(yīng)用軟件遭遇突發(fā)漏洞影響的情況,,當(dāng)相關(guān)事件爆發(fā)后,,作為供應(yīng)鏈中任何一個(gè)參與者都會(huì)面臨兩個(gè)問題,一是需要明確了解哪些項(xiàng)目或軟件是受影響的,,二是應(yīng)急響應(yīng),。如果說前者通過供應(yīng)鏈安全解決方案中的SCA可以快速排查出來的話,那么后者則對(duì)響應(yīng)時(shí)間的要求很高,,這個(gè)時(shí)候就需要依靠RASP的防護(hù)能力來保證在沒有補(bǔ)丁的情況下先行防護(hù),,這是它最大的優(yōu)勢(shì)所在,由于具有應(yīng)用的上下文,,它可以對(duì)應(yīng)用程序的行為結(jié)合上下文進(jìn)行持續(xù)分析,,一旦發(fā)現(xiàn)攻擊行為便可立刻進(jìn)行響應(yīng),。
事實(shí)上,防護(hù)的能力對(duì)于企業(yè)用戶而言是至關(guān)重要的,,在當(dāng)前這個(gè)數(shù)字業(yè)務(wù)的時(shí)代,,應(yīng)用軟件承載著企業(yè)的業(yè)務(wù),而修復(fù)安全問題需要時(shí)間,,有時(shí)甚至需要停機(jī)處理,。徐鋒表示,這種業(yè)務(wù)中斷的損失對(duì)于企業(yè)用戶而言是難以接受的,,因此通過動(dòng)態(tài)防御的方式先行防護(hù),,幫助用戶爭(zhēng)取更多的時(shí)間窗口,在下一個(gè)迭代中去徹底地修復(fù)問題組件,。當(dāng)前,,這一能力均已融合在上述安全玻璃盒所提供的兩個(gè)解決方案之中。
整體來看,,安全玻璃盒此款解決方案覆蓋了軟件供應(yīng)鏈安全的各個(gè)重要環(huán)節(jié),,且依靠長(zhǎng)年在技術(shù)研發(fā)、應(yīng)用落地等多方面沉淀的優(yōu)勢(shì),,在產(chǎn)品能力,、服務(wù)能力雙方面都達(dá)到了較高的水準(zhǔn),而且該解決方案的自動(dòng)化能力較強(qiáng),,易用性表現(xiàn)突出,,附議安全玻璃盒安全專家提供的服務(wù)支撐,可有效幫助用戶建立適合自身的軟件供應(yīng)鏈安全體系,,保障企業(yè)數(shù)字化轉(zhuǎn)型過程的順利開展,。
某金融企業(yè)應(yīng)用案例
從系統(tǒng)開發(fā)源頭構(gòu)建完整的開源軟件供應(yīng)鏈安全體系
在與安全玻璃盒溝通的過程中,我們也了解了他們的部分案例,,其中之一為針對(duì)某金融企業(yè)客戶,,其采用軟件供應(yīng)鏈安全解決方案的目的在于解決規(guī)范開源軟件在其各個(gè)數(shù)字業(yè)務(wù)系統(tǒng)生命周期中的安全采集、安全管理及安全使用,,從系統(tǒng)開發(fā)源頭構(gòu)建完整的開源軟件供應(yīng)鏈安全體系,。從對(duì)知悉開源軟件中的漏洞,預(yù)防新漏洞的產(chǎn)生,,修復(fù)或消除漏洞三個(gè)不同角度來解決開源軟件帶來的安全威脅,。確保開源軟件供應(yīng)鏈的完整性、保密性,、可用性,、可控性。
據(jù)了解,該案例的主要任務(wù)是為用戶提供包括軟件成分分析能力(SCA),、開源資產(chǎn)的管理能力,、 DevSecOps 集成能力、開源數(shù)據(jù)的收集和分析能力以及對(duì)供應(yīng)商的管控能力,,從而實(shí)現(xiàn)對(duì)其使用的開源軟件在整個(gè)軟件生命周期的安全管理,。
在對(duì)現(xiàn)有目標(biāo)數(shù)字業(yè)務(wù)系統(tǒng)的治理方面,安全玻璃盒的解決方案可以實(shí)現(xiàn)對(duì)不同來源,、不同階段項(xiàng)目的開源軟件成分進(jìn)行全面的溯源,、整合及分析。
在開源軟件評(píng)估及組件選型方面,,該解決方案會(huì)依據(jù)數(shù)據(jù)模型(圖2),,對(duì)用戶業(yè)務(wù)系統(tǒng)及引入的開源項(xiàng)目進(jìn)行各個(gè)維度的數(shù)據(jù)采集,最終輸出業(yè)務(wù)系統(tǒng)的綜合評(píng)估分?jǐn)?shù),,協(xié)助開發(fā)和安全人員對(duì)開源軟件供應(yīng)鏈產(chǎn)品進(jìn)行合理的選擇,。同時(shí),在開源的知識(shí)庫(kù)支持下,,該解決方案根據(jù)開源軟件信息的歸類,,幫助用戶的開發(fā)人員進(jìn)行架構(gòu)和組件選型,并且對(duì)不同組件進(jìn)行有效評(píng)分,,進(jìn)而協(xié)助開發(fā)人員快速選型,。
圖3:安全玻璃盒-開源項(xiàng)目評(píng)估及組件選型數(shù)據(jù)模型
在對(duì)開源資產(chǎn)進(jìn)行管理及開源組件漏洞許可識(shí)別方面,安全玻璃盒的解決方案除治理該系統(tǒng)本身應(yīng)用中所引入的第三方組件之外,,還可通過開源資產(chǎn)的管理功能對(duì)整個(gè)項(xiàng)目以及引入的第三方成分建立起開源軟件安全有效的跟蹤機(jī)制,,可及時(shí)有效發(fā)現(xiàn)開源組件及相關(guān)集成的開源產(chǎn)品的漏洞,根據(jù)系統(tǒng)體檢的修復(fù)建議,,在第一時(shí)間采取相關(guān)修復(fù)和防護(hù)措施,;在漏洞層面,在基于用戶業(yè)務(wù)系統(tǒng)開源軟件成分分析的結(jié)果,,根據(jù)獲取的開源組件信息,,分析引擎會(huì)對(duì)比開源知識(shí)庫(kù)。根據(jù)組件的版本,、名稱以及組件特性值,,獲取業(yè)務(wù)系統(tǒng)相關(guān)的開源軟件活躍度、技術(shù)支持,、更新 頻率等信息,形成有效的檢測(cè)報(bào)告,,協(xié)助用戶的安全部門或研發(fā)部門相關(guān)人員進(jìn)行合理評(píng)估,,而且對(duì)于存在漏洞的組件,該解決方案也會(huì)提供修復(fù)建議和相關(guān)替代版本的推薦。
在基于DevSecOps的插件集成方面,,該解決方案實(shí)現(xiàn)了DevSecOps工具在整個(gè)項(xiàng)目開發(fā)過程中的無縫接入,,從需求、編碼到實(shí)施和運(yùn)維,,進(jìn)行全生命周期的安全賦能,,推進(jìn)各級(jí)業(yè)務(wù)系統(tǒng)的安全串聯(lián)。
在供應(yīng)商安全評(píng)估管理方面,,該解決方案可以在該用戶原有的管理基礎(chǔ)上,,提供對(duì)用戶的供應(yīng)商安全能力在公司資格、人員能力,、服務(wù)能力,、產(chǎn)品認(rèn)證等多個(gè)維度進(jìn)行綜合評(píng)估,有效幫助用戶確保產(chǎn)品源頭的安全,。
在與開發(fā)安全相關(guān)的其他建設(shè)方面,,安全玻璃盒通過提供包括以合作的方式協(xié)助用戶構(gòu)建包括供應(yīng)鏈安全管理部門、制定相關(guān)安全策略和管理制度,,這些內(nèi)容均覆蓋了包括人員安全,、開發(fā)安全、維護(hù)安全以及供應(yīng)商管理等多個(gè)方面,,確保供應(yīng)鏈安全的有效落地,。
最終成果方面,在運(yùn)行數(shù)月并經(jīng)過應(yīng)用于各個(gè)階段的實(shí)際效果驗(yàn)證后,,該用戶認(rèn)為,,安全玻璃盒的軟件供應(yīng)鏈安全解決方案不但對(duì)原有項(xiàng)目的開源組件進(jìn)行了有效的梳理和升級(jí),并且在著名的Log4j 2漏洞爆發(fā)后,,幫助其安全人員快速定位有使用該組件的系統(tǒng)并迅速修復(fù),,在很大程度上避免了該漏洞可能導(dǎo)致的安全威脅和經(jīng)濟(jì)損失。同時(shí),,該用戶還將數(shù)字業(yè)務(wù)系統(tǒng)的安全屬性與之前傳統(tǒng)方式進(jìn)行的安全成效進(jìn)行了對(duì)比分析,,結(jié)果顯示,無論是在時(shí)間還是人力的成本上都有了顯著改善,。
產(chǎn)品及工具只是手段
系統(tǒng)性服務(wù)助力用戶實(shí)現(xiàn)預(yù)期效果
在此前我們與安全企業(yè)以及甲方用戶的交流中,,了解到當(dāng)前有一較大的問題在于安全工具、產(chǎn)品或解決方案本身具備良好能力,,但在用戶端落地應(yīng)用過程中,,卻并未發(fā)揮出預(yù)期的效果,該問題在開發(fā)安全領(lǐng)域中同樣存在,,針對(duì)這一情況,,徐鋒表示,,“安全領(lǐng)域中的工具、產(chǎn)品,,都是一種手段,,更重要的還是在于人,很多時(shí)候,,工具和產(chǎn)品主要在于提高效率以降低人的成本,。”
安全玻璃盒在應(yīng)對(duì)這一問題時(shí)的思路在于,,如想幫助用戶真正用好工具,、產(chǎn)品或解決方案,以最終達(dá)成預(yù)期中的安全建設(shè)和能力,,應(yīng)首先從文化角度去思考,。“對(duì)于開發(fā)人員,,需要始終對(duì)其強(qiáng)調(diào)一個(gè)核心思想——安全責(zé)任的共擔(dān),。安全理念、安全意識(shí)都是開發(fā)人員應(yīng)具備的素養(yǎng),?!毙熹h強(qiáng)調(diào)道,“安全是整個(gè)團(tuán)隊(duì)的事情,,而不僅僅是安全部門的事情,。”
徐鋒認(rèn)為,,“如果只是將解決方案簡(jiǎn)單交付給用戶,,在推廣使用的過程中未能將開發(fā)人員包含在其中,那么該解決方案的實(shí)施基本上就是失敗的,?!闭劶敖鉀Q方案推廣實(shí)施過程中的阻力這一問題時(shí),他告訴我們,,最大阻力主要源自于責(zé)任邊界的劃分,。“用戶端的安全開發(fā)項(xiàng)目,,多數(shù)都是由安全部門發(fā)起,,但如果該項(xiàng)目未能和研發(fā)部門之間打通,那么這個(gè)項(xiàng)目必然無法達(dá)到建設(shè)它的預(yù)期,?!泵鎸?duì)這一阻力,安全玻璃盒的做法是幫助用戶做好向上管理,。作為安全解決方案的提供商,,他們也會(huì)積極主動(dòng)的同客戶的安全部門,、研發(fā)部門,甚至他們共同的上級(jí)部門(如IT部門等)進(jìn)行溝通和匯報(bào),,在整個(gè)項(xiàng)目或解決方案交付時(shí),會(huì)讓上級(jí)管理部門明確了解整個(gè)安全開發(fā)的理念,,只有在獲取上級(jí)管理部門的支持后,,安全部門和研發(fā)部門彼此之間的邊界才會(huì)被打破,以保證項(xiàng)目順利實(shí)施并達(dá)到預(yù)期效果,。反之,,如仍未能打破這層邊界,項(xiàng)目實(shí)施難度可想而知,,從而很難保證最終的效果,。
同時(shí),安全玻璃盒也提供了相應(yīng)的系統(tǒng)性服務(wù),,包括安全開發(fā)意識(shí)培訓(xùn),、安全開發(fā)技能培訓(xùn),以幫助甲方用戶提升其開發(fā)團(tuán)隊(duì)成員的安全素養(yǎng),,增強(qiáng)安全意識(shí),,有利于降低開發(fā)人員自身問題導(dǎo)致安全風(fēng)險(xiǎn)出現(xiàn)的概率。同時(shí),,在工具,、產(chǎn)品以及解決方案的交付過程中,安全玻璃盒也會(huì)讓其安全顧問去協(xié)助甲方用戶進(jìn)行推廣和培訓(xùn),,使得其解決方案可以更容易地在開發(fā)人員視角下落地,,更好的應(yīng)用在開發(fā)過程之中,以讓用戶真正的用好并解決實(shí)際問題,。
聚焦開發(fā)安全及軟件供應(yīng)鏈安全賽道
讓每個(gè)用戶都能輕松交付安全,、合規(guī)的產(chǎn)品
徐鋒在訪談的最后告訴我們, 無論是自身的安全能力還是后續(xù)的產(chǎn)品布局,,安全玻璃盒會(huì)始終聚焦于開發(fā)安全,、軟件供應(yīng)鏈安全領(lǐng)域。據(jù)了解,,安全玻璃盒近幾年也在積極地參與安全開發(fā)相關(guān)標(biāo)準(zhǔn)的建設(shè),,包括參與編寫中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司研究院主導(dǎo)的《CU-DevSecOps實(shí)踐白皮書》、浙江省地方標(biāo)準(zhǔn)《基于安全檢測(cè)插件的Web應(yīng)用系統(tǒng)安全檢測(cè)技術(shù)規(guī)范》,、國(guó)家工業(yè)信息安全發(fā)展研究中心主導(dǎo)的團(tuán)隊(duì)標(biāo)準(zhǔn)《軟件安全開發(fā)能力要求》以及國(guó)家信息安全測(cè)評(píng)中心主導(dǎo)的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 安全開發(fā)能力評(píng)估準(zhǔn)則》等開發(fā)安全標(biāo)準(zhǔn),。
在產(chǎn)品方面,在進(jìn)一步完善布局,,提升能力的同時(shí),,會(huì)持續(xù)關(guān)注降低用戶的使用成本,,進(jìn)一步增強(qiáng)產(chǎn)品的易用性,降低使用門檻,,以一線開發(fā)人員,、團(tuán)隊(duì)的視角,幫助他們更好的上手和應(yīng)用,,即便在開發(fā)人員欠缺安全經(jīng)驗(yàn),、無專業(yè)安全人員介入的情況下,也能助力他們開發(fā)出更安全的軟件,,“這也是我們長(zhǎng)期秉承的服務(wù)宗旨——讓每個(gè)用戶都能輕松交付安全,、合規(guī)的產(chǎn)品?!?/p>
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
