《軟件供應(yīng)鏈安全解決方案》系列訪談邀請到一家長期專注于DevSecOps,、軟件供應(yīng)鏈安全領(lǐng)域的老牌企業(yè)——杭州孝道科技有限公司(在業(yè)內(nèi)大家更習(xí)慣于用另外一個(gè)名字去稱呼他們——安全玻璃盒,因此以下內(nèi)容均使用這一名稱進(jìn)行闡述),接下來,,我們就一同了解一下他們在該領(lǐng)域的積累和思考。
安全玻璃盒聯(lián)合創(chuàng)始人、CTO徐鋒于訪談中表示,在早期剛開始涉及開發(fā)安全乃至軟件供應(yīng)鏈安全這個(gè)領(lǐng)域時(shí),,能夠感受到市場層面對其仍缺乏關(guān)注,雖然當(dāng)前基礎(chǔ)安全建設(shè)已基本完善,,但應(yīng)用的內(nèi)生安全仍未能夠獲得足夠的重視,。對于國內(nèi)市場,目前仍然處在一個(gè)起步階段,,無論是DevSecOps還是安全左移的概念,,雖已被逐步接受和認(rèn)可,可在實(shí)際落地過程中,,客戶群體仍主要是以部分行業(yè)的頭部企業(yè)為主,,想要傳導(dǎo)到腰部或尾部的用戶,仍需要一個(gè)相對較長的過程,。
在談到用戶需求時(shí),,徐鋒則從以下幾個(gè)方面進(jìn)行了闡述:
1、頭部用戶(客戶),。這類用戶的特點(diǎn)是在整體網(wǎng)絡(luò)安全投入的資源以及預(yù)算等方面較為充足,,在實(shí)踐以及落地方面都有著一定的能力和經(jīng)驗(yàn)。如部分互聯(lián)網(wǎng),、金融等行業(yè)的大型企業(yè),對包括開發(fā)安全在內(nèi)的各個(gè)方面關(guān)注較早,,在SDL體系的落地方面也普遍做得較為到位,。對于這類用戶群體,在開發(fā)安全層面更多是需要引入專業(yè)的能力(如IAST,、SCA等),,隨后他們依靠自身能力去協(xié)同第三方做好整體平臺的集成,形成DevSecOps工具鏈,。
2,、腰部用戶(客戶)。這類用戶的特點(diǎn)是盡管也具有一定規(guī)模,但在網(wǎng)絡(luò)安全資源的投入方面同頭部客戶差距較大,,且安全團(tuán)隊(duì),、人員相對要少很多,普遍缺乏相關(guān)安全建設(shè)的能力和經(jīng)驗(yàn),,但業(yè)務(wù)需求端對產(chǎn)品的上線,、迭代速度要求同樣很高,因此,,它們所面臨的應(yīng)用安全風(fēng)險(xiǎn)同樣具有較高的風(fēng)險(xiǎn),。相比之下,此類用戶群體對整體解決方案的需求更高,,從咨詢,、產(chǎn)品再到整個(gè)DevSecOps工具鏈建設(shè)的支持都需要專業(yè)力量去協(xié)助和支撐完成。
除此之外,,他還特別提到了一種類型的用戶群體——無開發(fā)團(tuán)隊(duì)用戶,。這類用戶的特點(diǎn)是自身沒有開發(fā)團(tuán)隊(duì)和人員,在軟件產(chǎn)品開發(fā)過程中,,他們所參與的只是早期提出需求的階段,,剩余所有開發(fā)過程都以外包的方式交予外部軟件供應(yīng)商完成。徐鋒表示,,由于各種原因,,這類用戶對于供應(yīng)商的安全管理難以到位,因此會面臨的問題更為嚴(yán)重,,比如在應(yīng)用交付時(shí),,涉及安全層面存在很多盲區(qū)——交付時(shí)有無進(jìn)行過安全測試、是否存在漏洞,、軟件組成成分是否清晰,、API接口情況如何等等,如果這其中任何一個(gè)點(diǎn)存有安全隱患,,那么后期安全風(fēng)險(xiǎn)就會增大,。
針對這類用戶群體,他們所需要的其實(shí)也是一整套解決方案,,這也是接下來我們要介紹到的安全玻璃盒旗下的解決方案之一—新一代數(shù)字化應(yīng)用安全平臺,。
“All In One”新一代數(shù)字化應(yīng)用安全平臺
深度融合三大能力 支撐用戶開發(fā)安全建設(shè)
面對不同用戶的不同特點(diǎn)以及需求,安全玻璃盒除了不斷地研發(fā),、迭代自身產(chǎn)品,,讓安全能力獲得持續(xù)性提升之外,還有機(jī)的將旗下產(chǎn)品進(jìn)行融合,,并以平臺的形式交付給用戶,。據(jù)了解,,新一代數(shù)字化應(yīng)用安全平臺包含了安全玻璃盒的三大安全原子能力,分別是IAST(交互式應(yīng)用安全測試系統(tǒng)),、開源組件安全檢測與分析系統(tǒng)(SCA)以及RASP(應(yīng)用的自適應(yīng)免疫防護(hù)),。
需要強(qiáng)調(diào)的是,該平臺并非是簡單將三個(gè)產(chǎn)品能力合并在一起,,“這三個(gè)能力之間都是有深度耦合以及智能協(xié)同的,。”徐鋒告訴我們,,這個(gè)平臺還有一個(gè)顯著特點(diǎn)——只需部署一個(gè)agent,,就可以實(shí)現(xiàn)這三個(gè)能力?!斑@意味著用戶在做交互式應(yīng)用安全測試時(shí),,就可以同時(shí)有能力去針對漏洞的可達(dá)性、可利用性進(jìn)行測試,,相當(dāng)于將組件安全和IAST有機(jī)的結(jié)合起來,。”
另外,,借助于深度融合的優(yōu)勢,,在測試過程中遺留下來的包括應(yīng)用程序的輸入輸出、執(zhí)行指紋等數(shù)據(jù),,可以保留到應(yīng)用的運(yùn)行階段,,為RASP提供更為精準(zhǔn)的防御算法。特別值得一提的是,,在借助IAST所提供的數(shù)據(jù)進(jìn)一步提高防護(hù)精度的同時(shí),,還能實(shí)現(xiàn)補(bǔ)強(qiáng)IAST,針對這一點(diǎn),,徐鋒介紹道,,RASP是在執(zhí)行點(diǎn)進(jìn)行風(fēng)險(xiǎn)函數(shù)的插樁,當(dāng)發(fā)現(xiàn)攻擊行為所利用的是前期IAST沒有覆蓋到的漏洞,,相關(guān)數(shù)據(jù)就會并入到IAST中,,從而補(bǔ)強(qiáng)IAST的污點(diǎn)分析能力,令平臺對該用戶的安全能力實(shí)現(xiàn)有針對性地提升,,從而更充分發(fā)揮出其在安全效能上的優(yōu)勢,。
通過他的簡單介紹可以看出,在新一代數(shù)字化應(yīng)用安全平臺中,,是真正實(shí)現(xiàn)了三大能力的有機(jī)融合,,事實(shí)上,,也正是由于這種融合,,令其相比傳統(tǒng)的所謂“縫合怪”類型產(chǎn)品,,不僅在能力上還是在易用性上,都有顯著提升,,更有效保障用戶的應(yīng)用從開發(fā)到上線整個(gè)周期的安全,。同時(shí)我們還了解到,新一代數(shù)字應(yīng)用安全解決方案也是安全玻璃盒能夠獲得成為IDC Innovators中國DevSecOps技術(shù)創(chuàng)新者的重要技術(shù)點(diǎn),。
圖1:安全玻璃盒-新一代數(shù)字化應(yīng)用安全平臺
據(jù)我們所接觸到的一個(gè)應(yīng)用該解決方案實(shí)際案例,,其可實(shí)現(xiàn)的功能主要有以下幾點(diǎn):
01 實(shí)現(xiàn)在線全面精確可視化的動(dòng)態(tài)代碼檢測、應(yīng)用漏洞檢測,,可利用漏洞驗(yàn)證與溯源和代碼免疫防御能力,,同時(shí)具備包括漏洞代碼片段、傳播路徑,、修復(fù)示例,、可利用漏洞的驗(yàn)證溯源過程以及受攻擊事件過程等定位和分析能力;
02 基于運(yùn)行時(shí)開源軟件供應(yīng)鏈安全的漏洞檢測與許可分析,、漏洞自動(dòng)化驗(yàn)證和自適應(yīng)防護(hù)能力,;
03 具備全量 API 發(fā)現(xiàn)、漏洞檢測和自適應(yīng)防護(hù)能力,;
04 具備敏感信息檢測和應(yīng)用數(shù)據(jù)安全合規(guī)性檢測分析(個(gè)人信息保護(hù)法,、GDPR、 PCI DSS 等),;
05 自定義算法引擎和漏洞風(fēng)險(xiǎn)全生命周期管理,;
06 全面精確可視化的實(shí)時(shí)風(fēng)險(xiǎn)感知,包括代碼漏洞,、應(yīng)用漏洞,、開源軟件供應(yīng)鏈漏洞與許可分析、全量 API 發(fā)現(xiàn)和漏洞檢測以及可利用漏洞驗(yàn)證和受攻擊事件過程,。
據(jù)介紹,,由于其建設(shè)和部署都是基于數(shù)字應(yīng)用核心底層架構(gòu)的特點(diǎn),對于應(yīng)用的上層業(yè)務(wù),,無論是金融,、醫(yī)療、公共服務(wù)和平臺服務(wù)以及數(shù)據(jù)活動(dòng)都能實(shí)現(xiàn)源頭的安全賦能,、全生命周期的安全防護(hù),。
軟件供應(yīng)鏈安全解決方案
從源頭助力企業(yè)數(shù)字業(yè)務(wù)安全運(yùn)轉(zhuǎn)
由于軟件供應(yīng)鏈攻擊本身具有低成本、高效率的特點(diǎn),,因此具有極強(qiáng)的擴(kuò)散性和傳導(dǎo)性,,與之相關(guān)的安全事件在近兩年來更是被頻繁爆出,除了軟件開發(fā)者自身損失之外,,還會對其供應(yīng)鏈下游的軟件客戶/用戶群體制造威脅,,其風(fēng)險(xiǎn)之大已經(jīng)讓軟件供應(yīng)鏈安全成為全球關(guān)注的重點(diǎn)領(lǐng)域之一,。
依靠自身常年在開發(fā)安全領(lǐng)域積累的經(jīng)驗(yàn)和能力,安全玻璃盒也適時(shí)推出了軟件供應(yīng)鏈安全解決方案,。徐鋒告訴我們,,軟件供應(yīng)鏈安全融合了整個(gè)安全開發(fā)的全生命周期,因此相應(yīng)的解決方案也應(yīng)覆蓋這一周期,。
軟件供應(yīng)鏈可以大致分為開發(fā),、交付、運(yùn)行三個(gè)環(huán)節(jié),,每個(gè)環(huán)節(jié)都可能會引入軟件供應(yīng)鏈安全風(fēng)險(xiǎn)從而遭受攻擊,。軟件開發(fā)環(huán)節(jié)的安全防護(hù)相對來說比較薄弱,而且作為軟件供應(yīng)鏈的上游環(huán)節(jié),,軟件開發(fā)環(huán)節(jié)的安全問題會傳導(dǎo)到下游環(huán)節(jié)并被放大,。而攻擊者歷來追逐性價(jià)比最高的攻擊方式,所以攻擊左移是攻擊者的自然選擇,,因而這也對開發(fā)安全領(lǐng)域的公司和產(chǎn)品提出了更高的要求,,
因此,安全必須要盡可能早的融入到軟件開發(fā)流程之中,,徐鋒介紹道,,安全玻璃盒推出的軟件供應(yīng)鏈安全解決方案會在軟件開發(fā)過程中的設(shè)計(jì)階段開始介入,包括框架選型的支持,,而且除了提供相應(yīng)的漏洞信息之外,,還會加入包括對相關(guān)社區(qū)的成熟度、項(xiàng)目的成熟度,、是否有執(zhí)行嚴(yán)格的安全策略等多個(gè)維度進(jìn)行評估,。如幫助甲方去分析相關(guān)框架、項(xiàng)目的主導(dǎo)公司是否值得信任,,包括對過往的記錄,、當(dāng)前的表現(xiàn)以及對其未來的預(yù)期做出分析和判斷,以避免甲方在開發(fā)過程中或是開發(fā)完成后的軟件運(yùn)營過程中,,因該框架,、項(xiàng)目的主導(dǎo)公司出現(xiàn)問題而導(dǎo)致自身的軟件在后續(xù)開發(fā)、運(yùn)營過程中出現(xiàn)問題而導(dǎo)致業(yè)務(wù)受損的情況出現(xiàn),。
在我們看來,,這種服務(wù)極為重要,畢竟前期盡可能的規(guī)避風(fēng)險(xiǎn)遠(yuǎn)比后期彌補(bǔ)風(fēng)險(xiǎn)在成本上更具可控性,,無論是上述哪種類型的用戶,,都應(yīng)力爭做到這一點(diǎn)。
圖2:安全玻璃盒-軟件供應(yīng)鏈安全解決方案總體架構(gòu)
應(yīng)用運(yùn)行時(shí)安全也是軟件供應(yīng)鏈安全中極為重要的一個(gè)環(huán)節(jié),,徐鋒表示,,在應(yīng)用軟件遭遇突發(fā)漏洞影響的情況,,當(dāng)相關(guān)事件爆發(fā)后,作為供應(yīng)鏈中任何一個(gè)參與者都會面臨兩個(gè)問題,,一是需要明確了解哪些項(xiàng)目或軟件是受影響的,二是應(yīng)急響應(yīng),。如果說前者通過供應(yīng)鏈安全解決方案中的SCA可以快速排查出來的話,,那么后者則對響應(yīng)時(shí)間的要求很高,這個(gè)時(shí)候就需要依靠RASP的防護(hù)能力來保證在沒有補(bǔ)丁的情況下先行防護(hù),,這是它最大的優(yōu)勢所在,,由于具有應(yīng)用的上下文,它可以對應(yīng)用程序的行為結(jié)合上下文進(jìn)行持續(xù)分析,,一旦發(fā)現(xiàn)攻擊行為便可立刻進(jìn)行響應(yīng),。
事實(shí)上,防護(hù)的能力對于企業(yè)用戶而言是至關(guān)重要的,,在當(dāng)前這個(gè)數(shù)字業(yè)務(wù)的時(shí)代,,應(yīng)用軟件承載著企業(yè)的業(yè)務(wù),而修復(fù)安全問題需要時(shí)間,,有時(shí)甚至需要停機(jī)處理,。徐鋒表示,這種業(yè)務(wù)中斷的損失對于企業(yè)用戶而言是難以接受的,,因此通過動(dòng)態(tài)防御的方式先行防護(hù),,幫助用戶爭取更多的時(shí)間窗口,在下一個(gè)迭代中去徹底地修復(fù)問題組件,。當(dāng)前,,這一能力均已融合在上述安全玻璃盒所提供的兩個(gè)解決方案之中。
整體來看,,安全玻璃盒此款解決方案覆蓋了軟件供應(yīng)鏈安全的各個(gè)重要環(huán)節(jié),,且依靠長年在技術(shù)研發(fā)、應(yīng)用落地等多方面沉淀的優(yōu)勢,,在產(chǎn)品能力,、服務(wù)能力雙方面都達(dá)到了較高的水準(zhǔn),而且該解決方案的自動(dòng)化能力較強(qiáng),,易用性表現(xiàn)突出,,附議安全玻璃盒安全專家提供的服務(wù)支撐,可有效幫助用戶建立適合自身的軟件供應(yīng)鏈安全體系,,保障企業(yè)數(shù)字化轉(zhuǎn)型過程的順利開展,。
某金融企業(yè)應(yīng)用案例
從系統(tǒng)開發(fā)源頭構(gòu)建完整的開源軟件供應(yīng)鏈安全體系
在與安全玻璃盒溝通的過程中,我們也了解了他們的部分案例,,其中之一為針對某金融企業(yè)客戶,,其采用軟件供應(yīng)鏈安全解決方案的目的在于解決規(guī)范開源軟件在其各個(gè)數(shù)字業(yè)務(wù)系統(tǒng)生命周期中的安全采集,、安全管理及安全使用,從系統(tǒng)開發(fā)源頭構(gòu)建完整的開源軟件供應(yīng)鏈安全體系,。從對知悉開源軟件中的漏洞,,預(yù)防新漏洞的產(chǎn)生,修復(fù)或消除漏洞三個(gè)不同角度來解決開源軟件帶來的安全威脅,。確保開源軟件供應(yīng)鏈的完整性,、保密性、可用性,、可控性,。
據(jù)了解,該案例的主要任務(wù)是為用戶提供包括軟件成分分析能力(SCA),、開源資產(chǎn)的管理能力,、 DevSecOps 集成能力、開源數(shù)據(jù)的收集和分析能力以及對供應(yīng)商的管控能力,,從而實(shí)現(xiàn)對其使用的開源軟件在整個(gè)軟件生命周期的安全管理,。
在對現(xiàn)有目標(biāo)數(shù)字業(yè)務(wù)系統(tǒng)的治理方面,安全玻璃盒的解決方案可以實(shí)現(xiàn)對不同來源,、不同階段項(xiàng)目的開源軟件成分進(jìn)行全面的溯源,、整合及分析。
在開源軟件評估及組件選型方面,,該解決方案會依據(jù)數(shù)據(jù)模型(圖2),,對用戶業(yè)務(wù)系統(tǒng)及引入的開源項(xiàng)目進(jìn)行各個(gè)維度的數(shù)據(jù)采集,最終輸出業(yè)務(wù)系統(tǒng)的綜合評估分?jǐn)?shù),,協(xié)助開發(fā)和安全人員對開源軟件供應(yīng)鏈產(chǎn)品進(jìn)行合理的選擇,。同時(shí),在開源的知識庫支持下,,該解決方案根據(jù)開源軟件信息的歸類,,幫助用戶的開發(fā)人員進(jìn)行架構(gòu)和組件選型,并且對不同組件進(jìn)行有效評分,,進(jìn)而協(xié)助開發(fā)人員快速選型,。
圖3:安全玻璃盒-開源項(xiàng)目評估及組件選型數(shù)據(jù)模型
在對開源資產(chǎn)進(jìn)行管理及開源組件漏洞許可識別方面,安全玻璃盒的解決方案除治理該系統(tǒng)本身應(yīng)用中所引入的第三方組件之外,,還可通過開源資產(chǎn)的管理功能對整個(gè)項(xiàng)目以及引入的第三方成分建立起開源軟件安全有效的跟蹤機(jī)制,,可及時(shí)有效發(fā)現(xiàn)開源組件及相關(guān)集成的開源產(chǎn)品的漏洞,根據(jù)系統(tǒng)體檢的修復(fù)建議,,在第一時(shí)間采取相關(guān)修復(fù)和防護(hù)措施,;在漏洞層面,在基于用戶業(yè)務(wù)系統(tǒng)開源軟件成分分析的結(jié)果,根據(jù)獲取的開源組件信息,,分析引擎會對比開源知識庫,。根據(jù)組件的版本、名稱以及組件特性值,,獲取業(yè)務(wù)系統(tǒng)相關(guān)的開源軟件活躍度,、技術(shù)支持、更新 頻率等信息,,形成有效的檢測報(bào)告,,協(xié)助用戶的安全部門或研發(fā)部門相關(guān)人員進(jìn)行合理評估,而且對于存在漏洞的組件,,該解決方案也會提供修復(fù)建議和相關(guān)替代版本的推薦。
在基于DevSecOps的插件集成方面,,該解決方案實(shí)現(xiàn)了DevSecOps工具在整個(gè)項(xiàng)目開發(fā)過程中的無縫接入,,從需求、編碼到實(shí)施和運(yùn)維,,進(jìn)行全生命周期的安全賦能,,推進(jìn)各級業(yè)務(wù)系統(tǒng)的安全串聯(lián)。
在供應(yīng)商安全評估管理方面,,該解決方案可以在該用戶原有的管理基礎(chǔ)上,,提供對用戶的供應(yīng)商安全能力在公司資格、人員能力,、服務(wù)能力,、產(chǎn)品認(rèn)證等多個(gè)維度進(jìn)行綜合評估,有效幫助用戶確保產(chǎn)品源頭的安全,。
在與開發(fā)安全相關(guān)的其他建設(shè)方面,,安全玻璃盒通過提供包括以合作的方式協(xié)助用戶構(gòu)建包括供應(yīng)鏈安全管理部門、制定相關(guān)安全策略和管理制度,,這些內(nèi)容均覆蓋了包括人員安全,、開發(fā)安全、維護(hù)安全以及供應(yīng)商管理等多個(gè)方面,,確保供應(yīng)鏈安全的有效落地,。
最終成果方面,在運(yùn)行數(shù)月并經(jīng)過應(yīng)用于各個(gè)階段的實(shí)際效果驗(yàn)證后,,該用戶認(rèn)為,,安全玻璃盒的軟件供應(yīng)鏈安全解決方案不但對原有項(xiàng)目的開源組件進(jìn)行了有效的梳理和升級,并且在著名的Log4j 2漏洞爆發(fā)后,,幫助其安全人員快速定位有使用該組件的系統(tǒng)并迅速修復(fù),,在很大程度上避免了該漏洞可能導(dǎo)致的安全威脅和經(jīng)濟(jì)損失。同時(shí),該用戶還將數(shù)字業(yè)務(wù)系統(tǒng)的安全屬性與之前傳統(tǒng)方式進(jìn)行的安全成效進(jìn)行了對比分析,,結(jié)果顯示,,無論是在時(shí)間還是人力的成本上都有了顯著改善。
產(chǎn)品及工具只是手段
系統(tǒng)性服務(wù)助力用戶實(shí)現(xiàn)預(yù)期效果
在此前我們與安全企業(yè)以及甲方用戶的交流中,,了解到當(dāng)前有一較大的問題在于安全工具,、產(chǎn)品或解決方案本身具備良好能力,但在用戶端落地應(yīng)用過程中,,卻并未發(fā)揮出預(yù)期的效果,,該問題在開發(fā)安全領(lǐng)域中同樣存在,針對這一情況,,徐鋒表示,,“安全領(lǐng)域中的工具、產(chǎn)品,,都是一種手段,,更重要的還是在于人,很多時(shí)候,,工具和產(chǎn)品主要在于提高效率以降低人的成本,。”
安全玻璃盒在應(yīng)對這一問題時(shí)的思路在于,,如想幫助用戶真正用好工具,、產(chǎn)品或解決方案,以最終達(dá)成預(yù)期中的安全建設(shè)和能力,,應(yīng)首先從文化角度去思考,。“對于開發(fā)人員,,需要始終對其強(qiáng)調(diào)一個(gè)核心思想——安全責(zé)任的共擔(dān),。安全理念、安全意識都是開發(fā)人員應(yīng)具備的素養(yǎng),?!毙熹h強(qiáng)調(diào)道,“安全是整個(gè)團(tuán)隊(duì)的事情,,而不僅僅是安全部門的事情,。”
徐鋒認(rèn)為,,“如果只是將解決方案簡單交付給用戶,,在推廣使用的過程中未能將開發(fā)人員包含在其中,那么該解決方案的實(shí)施基本上就是失敗的,?!闭劶敖鉀Q方案推廣實(shí)施過程中的阻力這一問題時(shí),,他告訴我們,最大阻力主要源自于責(zé)任邊界的劃分,?!坝脩舳说陌踩_發(fā)項(xiàng)目,多數(shù)都是由安全部門發(fā)起,,但如果該項(xiàng)目未能和研發(fā)部門之間打通,,那么這個(gè)項(xiàng)目必然無法達(dá)到建設(shè)它的預(yù)期?!泵鎸@一阻力,,安全玻璃盒的做法是幫助用戶做好向上管理。作為安全解決方案的提供商,,他們也會積極主動(dòng)的同客戶的安全部門,、研發(fā)部門,甚至他們共同的上級部門(如IT部門等)進(jìn)行溝通和匯報(bào),,在整個(gè)項(xiàng)目或解決方案交付時(shí),,會讓上級管理部門明確了解整個(gè)安全開發(fā)的理念,只有在獲取上級管理部門的支持后,,安全部門和研發(fā)部門彼此之間的邊界才會被打破,,以保證項(xiàng)目順利實(shí)施并達(dá)到預(yù)期效果,。反之,,如仍未能打破這層邊界,項(xiàng)目實(shí)施難度可想而知,,從而很難保證最終的效果,。
同時(shí),安全玻璃盒也提供了相應(yīng)的系統(tǒng)性服務(wù),,包括安全開發(fā)意識培訓(xùn),、安全開發(fā)技能培訓(xùn),以幫助甲方用戶提升其開發(fā)團(tuán)隊(duì)成員的安全素養(yǎng),,增強(qiáng)安全意識,,有利于降低開發(fā)人員自身問題導(dǎo)致安全風(fēng)險(xiǎn)出現(xiàn)的概率。同時(shí),,在工具,、產(chǎn)品以及解決方案的交付過程中,安全玻璃盒也會讓其安全顧問去協(xié)助甲方用戶進(jìn)行推廣和培訓(xùn),,使得其解決方案可以更容易地在開發(fā)人員視角下落地,,更好的應(yīng)用在開發(fā)過程之中,以讓用戶真正的用好并解決實(shí)際問題,。
聚焦開發(fā)安全及軟件供應(yīng)鏈安全賽道
讓每個(gè)用戶都能輕松交付安全,、合規(guī)的產(chǎn)品
徐鋒在訪談的最后告訴我們, 無論是自身的安全能力還是后續(xù)的產(chǎn)品布局,安全玻璃盒會始終聚焦于開發(fā)安全,、軟件供應(yīng)鏈安全領(lǐng)域,。據(jù)了解,安全玻璃盒近幾年也在積極地參與安全開發(fā)相關(guān)標(biāo)準(zhǔn)的建設(shè),,包括參與編寫中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院主導(dǎo)的《CU-DevSecOps實(shí)踐白皮書》,、浙江省地方標(biāo)準(zhǔn)《基于安全檢測插件的Web應(yīng)用系統(tǒng)安全檢測技術(shù)規(guī)范》、國家工業(yè)信息安全發(fā)展研究中心主導(dǎo)的團(tuán)隊(duì)標(biāo)準(zhǔn)《軟件安全開發(fā)能力要求》以及國家信息安全測評中心主導(dǎo)的國家標(biāo)準(zhǔn)《信息安全技術(shù) 安全開發(fā)能力評估準(zhǔn)則》等開發(fā)安全標(biāo)準(zhǔn),。
在產(chǎn)品方面,,在進(jìn)一步完善布局,提升能力的同時(shí),,會持續(xù)關(guān)注降低用戶的使用成本,,進(jìn)一步增強(qiáng)產(chǎn)品的易用性,降低使用門檻,,以一線開發(fā)人員,、團(tuán)隊(duì)的視角,幫助他們更好的上手和應(yīng)用,,即便在開發(fā)人員欠缺安全經(jīng)驗(yàn),、無專業(yè)安全人員介入的情況下,也能助力他們開發(fā)出更安全的軟件,,“這也是我們長期秉承的服務(wù)宗旨——讓每個(gè)用戶都能輕松交付安全,、合規(guī)的產(chǎn)品?!?/p>
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<