未雨绸缪，防患于未然 新思科技剖析2019年软件安全趋势

过去一年，从Facebook数据泄露事件、币圈频发的网络攻击，到知名酒店集团的信息泄露，让越来越多的企业意识到他们在防范潜在威胁和新型攻击媒介方面的投资还远远不够。他们也愈加关注安全 方面的趋势，防患于未然，以保护投资回报。

近年来，云计算、人工智能（AI）、机器学习（ML）、物联网（IoT）和大数据在很大程度上推动了企业运营方式的演变。值得一得的是，所有这些技术都是由软件驱动的。有鉴于此，防止和减少软件漏洞以维持企业健康发展至关重要。

为了更好地推动软件安全的发展，让我们来参考一下新思科技软件质量与安全部门（Synopsys Software Integrity Group）的预测。这些预测将有助于企业保持警惕，最大限度地减少软件安全风险。

设计和标准的安全性

大部分软件仍然主要是在没有正式标准和流程的情况下编写的。与构建桥梁不同，软件开发并不是标准化、可重复的工作。开源持续了很长时间，现在已经司空见惯。可以想象，更多的信任将放在基于开源软件的通用构建模块中。此外，垂直领域软件开发标准将更快出现。

当生命依赖于正确的软件执行时，我们会将更多的努力放在标准、可审计性和问责制上，这一点在汽车和飞机内的安全关键系统上已经得到充分证实。这些标准可能是自下而上的，也可能是由政府监管的。金融服务、区块链以及移动解决方案安全性等领域也有机会执行这样的标准。

2019年，我们可能看到垂直市场组成联盟，以建立更多面向特定领域的安全标准，并改善信任和互换性。其中大部分可以基于开源组件构建。

继续向云迁移

随着经济的增长，各大企业也面临着新的竞争压力。这迫使企业需要重新武装自己。数字化如火如荼，新的云环境也正在改变企业部署APP的方式。因此，企业需要在APP应用和软件安全方面保持警惕。

我们预计将会有更多投资会放在云端安全上。此外，给员工普及应用安全和软件安全的概念以及这方面的培训需求也会越来越多。

AI和ML渗入到我们生活

很多人会意识到AI和ML已经在他们周围出现，对生活、家庭、健康及工作的决策等都有影响。

那AI/ML能为软件安全和网络安全做什么呢？这让人期待。网络安全很重要的一部分是数据关联和分析。这就需要具备基于多个不同的数据源（犹如海底捞针）来查找单个威胁和威胁活动以及执行威胁行动者归因的能力。

AI/ML可以通过数据建模和模式识别来提高以上过程的速度、规模和准确性。然而，很多刊出的文章都对此表示怀疑和担忧。有的时候，企业可能会有一种安全的假象，但是事实并非如此。我们还需要更多时间和投入完善数据模型和模式识别，以确保AI/ML技术能够有效提升软件安全。

我们应该期待看到大公司继续投资AI/ML技术。与此同时，宣传AI/ML能力的初创企业也将在2019年继续崛起。但是，可能还需要几年时间才能完全实现AI/ML的真正愿景。

IoT攻击仍然是一个困扰

在亚太地区，许多国家正在推进智慧城市和智能国家计划。这也为新一轮的IoT网络攻击提供了机会。不法分子可以利用数据中毒进行攻击，其中的错误信息将通过部署在目标城市或全国范围内的传感器影响决策。

我们还将看到一些旧问题仍然存在：硬编码凭证和未修补的组件，没有良好设计的空中下载技术（OTA）更新以及持续更新策略。

针对医疗和零售业的攻击将增多

原因是这些行业正在收集的数据的价值正在增加。我们必须进行投资以保护医疗、零售及其他行业的数据。需要再次强调的是：安全培训必不可少。

对开发人员使用第三方应用程序编程接口（API）的敏感性提高

它是绝大多数IT企业的盲点，类似于十年前的开源使用。大多数公司都了解确保他们发布的API免受外部攻击的重要性，但很少有公司会通过从内到外调用第三方API来跟踪他们自己的代码在Web服务的使用。

依赖第三方服务的方式还存在其它法律和业务风险。公司还必须考虑到他们可能无意中传递到防火墙外的未知和不受信任来源的机密数据。

从数据到决策

现在有许多质量和安全解决方案，每个都有自己的目的、优势和产生的数据。可能是渗透测试、日志监控和入侵检测，或自动化软件安全测试解决方案。虽然功能和技术不断发展，但它们也会创造出更多的信息和数据点。

我们很容易淹没在信息海洋中，而忽视了一些必需品。其实，关键是将这些数据融合在一起，以制定基于风险和业务的决策。一方面，我们面临的挑战在于“海底捞针”；另一方面，我们需要组合来自不同方法和域的数据，以了解整体状态。

2019年，我们需要的并不是更多数据，而是更好的决策支持。

总结

2019年，软件将继续在我们的日常生活和工作中发挥越来越重要的作用。我们需要工具和支持将安全性贯穿到整个软件开发周期、公司文化和业务流程的各个方面，从而确保公司更快地构建安全、高质量的软件。