如果要開發(fā)軟件，就必須擁有軟件安全計(jì)劃 （SSI）。實(shí)施SSI 可以盡可能地防止安全缺陷進(jìn)入到生產(chǎn)階段，但是，如何有效地開展SSI仍是很多軟件企業(yè)的痛點(diǎn)。

美國(guó)新思科技公司 （Synopsys， Nasdaq： SNPS）近日在中國(guó)進(jìn)行了一項(xiàng)調(diào)查，其結(jié)果顯示軟件的質(zhì)量與安全是開發(fā)人員最關(guān)注的兩個(gè)指標(biāo)。此外，缺乏熟練的專業(yè)人才和培訓(xùn)是全面實(shí)施軟件安全計(jì)劃（SSI）的最大挑戰(zhàn)。

調(diào)查指出30%的企業(yè)依靠開發(fā)團(tuán)隊(duì)檢測(cè)軟件安全漏洞。為了滿足市場(chǎng)需求，軟件開發(fā)商需要更快地將產(chǎn)品推出市場(chǎng)才能保持競(jìng)爭(zhēng)力。這意味著開發(fā)團(tuán)隊(duì)要在縮短軟件研發(fā)時(shí)間的同時(shí)也要確保安全性。要實(shí)現(xiàn)這一點(diǎn)有很大的挑戰(zhàn)。

在TiD2018質(zhì)量競(jìng)爭(zhēng)力大會(huì)上，新思科技軟件質(zhì)量與安全部門進(jìn)行了一項(xiàng)問卷調(diào)查，受訪對(duì)象是來自電信、金融、保險(xiǎn)、汽車和科技等多個(gè)領(lǐng)域的軟件專業(yè)人士。TiD2018于七月中舉行，是軟件行業(yè)的領(lǐng)先峰會(huì)。

本次共收集了293份有效問卷，主要發(fā)現(xiàn)如下：

在軟件安全方面，目前最迫切需要解決的問題：提升軟件質(zhì)量（44％）；軟件安全性（28％）；創(chuàng)新功能（11％）；按時(shí)交付產(chǎn)品（10％）；合規(guī)性（6％）;其它（1％）。

實(shí)施SSI的最大挑戰(zhàn)：缺乏熟練的專業(yè)人才或培訓(xùn)（67%）；預(yù)算限制（22%）；不需要SSI（7%） 。

如何開展應(yīng)用安全計(jì)劃：擁有負(fù)責(zé)應(yīng)用安全的內(nèi)部團(tuán)隊(duì)或?qū)ｉT的安全計(jì)劃（62％）；第三方供應(yīng)商負(fù)責(zé)評(píng)估應(yīng)用安全和執(zhí)行安全計(jì)劃（11％）；綜合以上兩項(xiàng)（14％）；沒有正式的應(yīng)用安全計(jì)劃（13％）。

誰負(fù)責(zé)測(cè)試軟件的安全漏洞：開發(fā)團(tuán)隊(duì)（30％）； IT安全團(tuán)隊(duì)（27％）；質(zhì)量保證團(tuán)隊(duì)（25％）；產(chǎn)品安全團(tuán)隊(duì)（14％）；多團(tuán)隊(duì)合作（4％）。

哪種類型的漏洞帶來最嚴(yán)重的安全風(fēng)險(xiǎn)：企業(yè)自己開發(fā)的專有代碼中的應(yīng)用程序漏洞（40％）；企業(yè)委托的第三方供應(yīng)商所開發(fā)的專有代碼中的應(yīng)用程序漏洞（30％）；企業(yè)開發(fā)或使用的開源軟件組件中存在的漏洞（30％）。

新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁表示：“這份調(diào)查結(jié)果貼切地反映了現(xiàn)在軟件開發(fā)團(tuán)隊(duì)面臨的兩難困境，一方面需要盡快開發(fā)出來新的軟件解決方案；另一方面也要確保產(chǎn)品的安全性和穩(wěn)健性。這兩項(xiàng)任務(wù)都需要時(shí)間和資源配合。一旦遇到人員流動(dòng)的時(shí)候，開發(fā)團(tuán)隊(duì)更雪上加霜。因此，它們需要像新思科技這樣的企業(yè)提供專業(yè)的軟件質(zhì)量與安全服務(wù)。”

楊國(guó)梁介紹道：“新思科技軟件質(zhì)量與安全部門提供全方位的管理和專業(yè)服務(wù)、產(chǎn)品和培訓(xùn)。我們可以根據(jù)客戶的具體需求定制軟件安全計(jì)劃。我們致力于在整個(gè)軟件開發(fā)周期中提供支持，助力企業(yè)更加迅速地構(gòu)建安全、高質(zhì)量的軟件。”

新思科技軟件質(zhì)量與安全部門的調(diào)查問卷還發(fā)現(xiàn)了企業(yè)目前正在尋求哪些軟件應(yīng)用測(cè)試解決方案：靜態(tài)分析/靜態(tài)應(yīng)用安全測(cè)試（49％）；架構(gòu)風(fēng)險(xiǎn)分析/威脅建模（47％）；動(dòng)態(tài)分析/動(dòng)態(tài)應(yīng)用安全測(cè)試（38％）；交互式應(yīng)用安全測(cè)試（30％）；第三方滲透測(cè)試（24％）；軟件組成分析（21％）；模糊測(cè)試（14％）。