近日,工信部发布了《工业和信息化部行政执法事项清单(2022年版)》,其中有十多项是与信息安全与数据安全有关的处罚事项。
例如:
针对以上事项,将根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》中对应条款进行处罚,少则十几万,多则近千万的处罚!
众所周知,软件系统自身存在漏洞是导致数据泄漏、系统遭受恶意攻击等信息安全事故的主要原因之一。如果在软件系统上线前,尽最大可能消除漏洞,可以最有效地预防信息安全事故发生,真正做到“未雨绸缪”。
专注软件安全的小安,提出几点建议:
1. 提高软件研发的安全意识
因为业务上线要求快速交付,安全问题始终是交付的瓶颈,研发往往铤而走险让业务先上线。这是从意识上没有认识到,软件上线后发现漏洞的修复成本是研发阶段修复成本的上百倍。遵守安全开发准则、采用安全的编程技术、重视代码审查、定期测试系统等意识,研发人员都有待提高。
2. 在软件研发的编码阶段引入源代码检测工具
软件漏洞本质上是代码质量问题,在编码阶段引入源代码检测工具,依靠其超高的代码检测覆盖率,可以及时发现并识别代码中的安全缺陷与漏洞,并快速定位和修复问题,且不会破坏代码原来的的构建流程。
3. 一定要进行安全测试
软件发布前会进行功能性和性能测试,但往往忽略安全测试,使得软件安全缺陷在上线前不能被及时发现,导致软件带病上线。进行渗透测试是安全测试的首选方式之一,以攻击者的角度来看待和思考问题,攻击软件系统来证明软件缺陷的存在。而更先进的安全测试,则可部署IAST工具,使软件自动化完成安全测试,并快速定位缺陷,反馈给测试与研发人员,及时防止软件带病上线。
4. 推进 DevSecOps 是解决持续交付和安全响应之间矛盾的“最佳方案”
DevSecOps是在软件生命周期的所有阶段,通过自动化、监控和安全应用, 通过单元、功能、集成和安全测试将安全性进行左移。构建适合自己组织的 DevSecOps 安全研运体系,提供从需求、设计、研发、测试、到运营等软件生命周期的流程与数据管理,将安全融入研运全流程中,以数字化、智能化、自动化方式,实现持续交付与安全响应能力的提高。
开源网安在 DevSecOps 中的探索
纵观 DevSecOps 的发展与实践,开源网安梳理了来自不同行业中诸多客户的 DevSecOps 落地案例,总结了集安全技术能力、超前的 DevSecOps 组织与文化理念、完备的安全服务于一体的实践方法。
开源网安 DevSecOps 纵深一体化安全研运管理平台,是开源网安为客户打造的,集“产品+工具+服务”于一体的纵深安全防护体系,从根本上补齐了传统DevOps缺失的安全能力。
平台提供了从需求、设计、研发、测试到运营的软件生命周期的流程与数据管理,通过威胁建模和安全工具编排,将安全融入研运全流程。帮助客户在不牺牲交付安全的前提下,以自动化方式提高研发与部署效率。通过智慧研运度量体系和态势感知,以数字化、智能化方式,提高客户持续交付与安全响应能力。
作为国内软件安全行业的创领者,开源网安历经十载,坚持打造自主核心技术,逐年推出了多款具有完全自主知识产权的软件安全产品(SAST、IAST、SCA、FUZZ、RASP、S-SDLC、DevSecOps等),填补了国内软件安全产品的空白,构建了完全自研的产品矩阵,更打破了国外技术的垄断。
多年来我们积累了大量与世界500强企业的合作经验,业务覆盖政府、金融、能源、通信、汽车、物联网等多元化场景。期间,我们曾助力多家中国大型企业通过海外软件安全标准的认证,成就大国品质出海。在这十年间,我们屡获国家权威认可,多次参与软件安全相关的国家标准与行业标准的制定。
我们从全生命周期守护客户软件安全,为客户提供软件供应链安全、软件研发安全、安全培训等一站式解决方案与服务,助力客户在安全进行数字化转型的同时,把更多资源用于业务的创新与突破。