默安科技副总裁彭戈认为,云安全与网络安全一样,可以细分为很多领域。而上云前的安全则是其中重要一环。
默安科技副总裁彭戈
软件安全开发能够直接为用户带来两方面的收益:
第一是急剧降低漏洞修复的人力、时间和金钱成本。研发阶段发现的漏洞可由开发直接修复,成本低,效率高。越到软件开发生命周期的后端,涉及和介入的部门越多,沟通、漏洞验证,修复环节层层倒推,整体成本倍数上升。
第二则是合规优势。关联度最紧密的就是等级保护制度中对研发安全作了明确要求。等保二级要求软件上线前必须完成安全性测试,上线后进行漏洞和风险管理。等保三级的规定则更为细致。最新的政策动向是工信部于2019年6月18日发布的《网络安全漏洞管理规定(征求意见稿)》,要求网络产品、服务提供者和网络运营者发现漏洞必须验证,网络产品应在90日内采取漏洞修复措施,网络服务或系统应当在10日内采取漏洞修复措施。
雳鉴软件开发全流程安全框架
一个软件的安全开发周期包含培训(安全开发培训)、设计(威胁建模-对功能需求进行安全分析并提出解决方案)、研发(SAST代码安全检查)、测试(IAST交互安全测试)、运行(对线上环境进行7×24小时安全漏洞监控)这5个部分。
默安科技自主研发的软件开发全流程安全框架和智能资产风险监控系统,能够完全覆盖整个业务生命周期在漏洞管理方面的安全需求。彭戈认为,该方案强调的是安全压力的均摊,将安全需求集中在一项工作或阶段上的防护压力会非常大。