近日,在TiD2018質(zhì)量競爭力大會上,新思科技軟件質(zhì)量與安全部門進(jìn)行了一項問卷調(diào)查,受訪對象是來自電信、金融、保險、汽車和科技等多個領(lǐng)域的軟件專業(yè)人士。TiD2018于七月中舉行,是軟件行業(yè)的領(lǐng)先峰會。
該份調(diào)查指出30%的企業(yè)依靠開發(fā)團(tuán)隊檢測軟件安全漏洞。為了滿足市場需求,軟件開發(fā)商需要更快地將產(chǎn)品推出市場才能保持競爭力。這意味著開發(fā)團(tuán)隊要在縮短軟件研發(fā)時間的同時也要確保安全性。要實現(xiàn)這一點有很大的挑戰(zhàn)。
本次共收集了293份有效問卷,主要發(fā)現(xiàn)如下:
- 在軟件安全方面,目前最迫切需要解決的問題:提升軟件質(zhì)量(44%);軟件安全性(28%);創(chuàng)新功能(11%);按時交付產(chǎn)品(10%);合規(guī)性(6%);其它(1%)。
- 實施SSI的最大挑戰(zhàn):缺乏熟練的專業(yè)人才或培訓(xùn)(67%);預(yù)算限制(22%);不需要SSI(7%) 。
- 如何開展應(yīng)用安全計劃:擁有負(fù)責(zé)應(yīng)用安全的內(nèi)部團(tuán)隊或?qū)iT的安全計劃(62%);第三方供應(yīng)商負(fù)責(zé)評估應(yīng)用安全和執(zhí)行安全計劃(11%);綜合以上兩項(14%);沒有正式的應(yīng)用安全計劃(13%)。
- 誰負(fù)責(zé)測試軟件的安全漏洞:開發(fā)團(tuán)隊(30%); IT安全團(tuán)隊(27%);質(zhì)量保證團(tuán)隊(25%);產(chǎn)品安全團(tuán)隊(14%);多團(tuán)隊合作(4%)。
- 哪種類型的漏洞帶來最嚴(yán)重的安全風(fēng)險:企業(yè)自己開發(fā)的專有代碼中的應(yīng)用程序漏洞(40%);企業(yè)委托的第三方供應(yīng)商所開發(fā)的專有代碼中的應(yīng)用程序漏洞(30%);企業(yè)開發(fā)或使用的開源軟件組件中存在的漏洞(30%)。
新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁表示:“這份調(diào)查結(jié)果貼切地反映了現(xiàn)在軟件開發(fā)團(tuán)隊面臨的兩難困境,一方面需要盡快開發(fā)出來新的軟件解決方案;另一方面也要確保產(chǎn)品的安全性和穩(wěn)健性。這兩項任務(wù)都需要時間和資源配合。一旦遇到人員流動的時候,開發(fā)團(tuán)隊更雪上加霜。因此,它們需要像新思科技這樣的企業(yè)提供專業(yè)的軟件質(zhì)量與安全服務(wù)。”
楊國梁介紹道:“新思科技軟件質(zhì)量與安全部門提供全方位的管理和專業(yè)服務(wù)、產(chǎn)品和培訓(xùn)。我們可以根據(jù)客戶的具體需求定制軟件安全計劃。我們致力于在整個軟件開發(fā)周期中提供支持,助力企業(yè)更加迅速地構(gòu)建安全、高質(zhì)量的軟件。”
新思科技軟件質(zhì)量與安全部門的調(diào)查問卷還發(fā)現(xiàn)了企業(yè)目前正在尋求哪些軟件應(yīng)用測試解決方案:靜態(tài)分析/靜態(tài)應(yīng)用安全測試(49%);架構(gòu)風(fēng)險分析/威脅建模(47%);動態(tài)分析/動態(tài)應(yīng)用安全測試(38%);交互式應(yīng)用安全測試(30%);第三方滲透測試(24%);軟件組成分析(21%);模糊測試(14%)。
