广告

新思科技:数字赋能,安全先行

2023-01-12 15:44:54 新思科技中国区软件应用安全业务总监杨国梁 阅读:
数字创新离不开软件驱动;软件的可信度很大程度取决于软件安全成熟度。中国正在把发展经济的着力点放在实体经济上,加快建设网络强国、数字中国。同时,数字经济与各种产业叠加,赋予数字化力量,可以提升实体经济的产业优势,促进产业迈向高质量。对此,新思科技强调,数字赋能,安全先行。把安全贯穿在数字经济发展的全过程,才能行稳致远。软件安全不会一蹴而就,而是一个旅程,需要借鉴“他山之石”,取长补短。

数字创新离不开软件驱动;软件的可信度很大程度取决于软件安全成熟度。中国正在把发展经济的着力点放在实体经济上,加快建设网络强国、数字中国。同时,数字经济与各种产业叠加,赋予数字化力量,可以提升实体经济的产业优势,促进产业迈向高质量。对此,新思科技强调,数字赋能,安全先行。把安全贯穿在数字经济发展的全过程,才能行稳致远。软件安全不会一蹴而就,而是一个旅程,需要借鉴“他山之石”,取长补短。CE9ednc

CE9ednc

当然,他人的经验并非都有普适性。虽然出发点是好的,但是如果采纳了不适合自身的软件安全建议,或者盲目跟随某家企业的软件安全计划,可能会导致损失。一旦不法分子发现其中的缺陷和漏洞,就可以窃取知识产权、员工和客户的个人信息、清空公司银行账户、破坏建筑的安保,甚至通过勒索软件来破坏企业运营。CE9ednc

在如今数字化转型的大环境中,每个企业在本质上都是一家软件公司。因此软件风险很大程度上等同于业务风险。在竞争激烈且充满不确定性的市场环境中,企业应该对软件安全建议谨慎求证,才能确定是否应该采取后续行动。CE9ednc

如果从一两家公司的软件安全计划中找不到合适的参照,那100多家呢?基于大量的真实数据,描述哪些方案是有效的,哪些是失败的,更重要的是行业在发生什么变化,已经采取了哪些安全举措以更高效地响应这些变化,进而构建可信软件。CE9ednc

这也是自2008年开始,全球有数百家企业参加软件安全构建成熟度模型(BSIMM)评估的原因。这其中也不乏中国企业,比如OPPO、联想和浪潮参加了新思科技最新的BSIMM13评估。CE9ednc

CE9ednc

BSIMM是免费及开放的标准,广泛适用于各行业。BSIMM 软件安全框架(SSF)包含四个领域 — 治理、 情报、 SSDL 触点和部署,涵盖250项软件安全计划,观察企业如何将安全性构建到软件开发中,以应对不断变化的数字威胁环境。通过这种数据驱动的视角,BSIMM可全面评估企业软件安全小组的成熟度,并创建用于衡量其计划成熟度的软件安全计分卡。CE9ednc

除了评估和计分卡,BSIMM还为多样化的成员社区搭建交流桥梁,大家可以互动、学习行业最佳实践、获得对不断变化的商业环境的新见解,并参加线下活动,以促进更紧密的联系和合作。CE9ednc

无论您是正在制定软件安全计划,还是已经开始维护成熟的计划,根据BSIMM13数据,都应该考虑实施以下措施:CE9ednc

  • 自动化软件安全工具到位。无论是用于静态或动态测试还是软件组成分析,这些工具都可以识别并帮助修复关键软件中的缺陷、漏洞和恶意代码,无论是内部开发的软件、商业第三方软件还是开源软件。
  • 基于数据驱动安全决策。使用安全测试工具收集数据、合并数据,然后使用这些数据制定和实施软件安全策略。收集有关执行了哪些测试以及发现了哪些问题的数据,以推动同时改进软件开发生命周期(SDLC)和治理流程。
  • 向自动化安全测试和决策转变。从人力资源密集的人工方式转变为更一致、更高效、可重复性更强的自动化方法。
  • SDLC中向规模更小的自动检测转变。在检查软件时,尽一切可能通过规模更小、速度更快、管道驱动的测试替代渗透测试或人工代码审查等手动活动。
  • 尽早创建全面的软件物料清单(SBOM)。SBOM中应包括企业的资产清单以及开源和第三方代码清单。

BSIMM13观察到的其中一个趋势是软件供应链风险管理兴起。就在几年前,这还是安全社区的边缘话题。现在,可能由于近期比较频繁的供应链攻击事件影响,管理软件供应链风险(最常见的是通过识别和保护开源软件来执行)成为BSIMM成员企业的首要任务。BSIMM13 报告显示,与控制开源风险相关的活动增加了 51%,通过构建和维护SBOM以对其部署的软件中的组件进行全面分类的企业增加了 30% 。CE9ednc

在BSIMM13中,最引人注目的数字或许是0。数据表明,在130家参与评估的企业中,没有一家的软件安全小组具有完全相同的架构。没有一个所谓“最好”的途径可以构建出成熟的软件安全应用。但我们有着共同的目标:构建可信的软件。CE9ednc

BSIMM并不规定企业需要采取何种路径。而是帮助企业能够根据其自身的风险概况和优先级制定合适的计划,以提升软件安全成熟度。CE9ednc

责编:Franklin
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • Qorvo® 推出通过基于 UWB 的智能手机高精度安全室 该室内导航系统可为电子设备提供高精度网络,以在 GPS 和其他卫星技术缺乏精度或完全失效的情况下,例如多层建筑、停车库和地下区域,对人或物体进行定位。
  • 三种缓存映射类型对比 在计算机中,整个内存可以根据访问时间和容量分为不同的级别。更小、更快的内存会更靠近处理器。如果处理器所需要的数据离处理器越近,访问时间就越少。因此,我们希望让处理器所需要的数据离它更近。但这是怎么实现的呢?
  • 使用DMA加速可穿戴设备的外设监控 本文介绍了在嵌入式系统编程中使用直接内存访问(DMA)的用例、优点和缺点。介绍了DMA如何与外设和内存模块交互以提高CPU的运行效率。还将向读者介绍不同的DMA总线访问架构,以及各自的优势。
  • IAR Systems已全面支持兆易创新车规级MCU IAR Systems嵌入式开发解决方案现已全面支持兆易创新GD32系列芯片,与合作伙伴一同提升产业影响力
  • 简化嵌入式ADC的测试 几年前,我需要一个快速、低频而又失真极低的源来测试板载微控制器(MCU) ADC,看它是否具有数据手册中所说的有效位数(ENOB)和线性度。虽然可以构建分立式振荡器电路,但这种模拟方法很繁琐,绝不能实现快速设置。这让我开始思考专业音频分析仪如何实现它们的源。
  • NOR闪存如何帮助克服可穿戴设备的设计挑战 尽管可穿戴技术和可听戴技术看起来像是上一代手持设备的延伸,但提高其价值、用户体验和功能所需的创新特性却显著增加了复杂性。例如,必须要在严格的外形尺寸和功率限制内为智能手表添加时尚的特性和功能。
  • 拆解:亚马逊第四代Echo Dot有哪些设计改进? 亚马逊推出第四代Echo Dot时专注于提高音频质量,因此我必须要为自己购买一个,专门用于拆解目的。我怀疑第四代Echo Dot的体积比其前身更大意味着扬声器后面有更大的声学悬架腔体,这是亚马逊声称以低音为中心的声波改进的根本原因。
  • 硬件信任根在边缘设备中的作用 基于SoC技术构建的边缘设备容易受到入侵者的直接访问。这就需要将安全解决方案集成到边缘设备的制造过程中。硬件信任根是此类解决方案的关键。
  • FORESEE SPI NAND Flash 中国大陆首发512Mb SPI NAND Flash; WSON 封装尺寸较小,节约PCB空间; 集成SPI控制器,通用SPI接口; 内部集成on die ECC。
  • 瑞萨电子将与Fixstars联合开发工具套件用于优化R-Car 通过快速开发优化的网络模型和高速仿真来缩短开发周期
  • 凌华科技推出整合影像传感器NVIDIA Jetson Nano人工 轻松快速完成人工智能视觉项目原型设计
  • 立足优势 持续领先:KIOXIA铠侠新一代UFS嵌入式闪存器 KIOXIA铠侠中国近日宣布,今年其最新发布的业界首款*1支持MIPI M-PHY*2 v5.0的通用闪存*3Universal Flash Storage嵌入式闪存器件,目前已率先批量交货,助力本土手机产商实现存储速度飞跃。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了