如果要開發(fā)軟件，就必須擁有軟件安全計劃 （SSI）。實施SSI 可以盡可能地防止安全缺陷進(jìn)入到生產(chǎn)階段，但是，如何有效地開展SSI仍是很多軟件企業(yè)的痛點。

美國新思科技公司 （Synopsys， Nasdaq： SNPS）近日在中國進(jìn)行了一項調(diào)查，其結(jié)果顯示軟件的質(zhì)量與安全是開發(fā)人員最關(guān)注的兩個指標(biāo)。此外，缺乏熟練的專業(yè)人才和培訓(xùn)是全面實施軟件安全計劃（SSI）的最大挑戰(zhàn)。

調(diào)查指出30%的企業(yè)依靠開發(fā)團(tuán)隊檢測軟件安全漏洞。為了滿足市場需求，軟件開發(fā)商需要更快地將產(chǎn)品推出市場才能保持競爭力。這意味著開發(fā)團(tuán)隊要在縮短軟件研發(fā)時間的同時也要確保安全性。要實現(xiàn)這一點有很大的挑戰(zhàn)。

在TiD2018質(zhì)量競爭力大會上，新思科技軟件質(zhì)量與安全部門進(jìn)行了一項問卷調(diào)查，受訪對象是來自電信、金融、保險、汽車和科技等多個領(lǐng)域的軟件專業(yè)人士。TiD2018于七月中舉行，是軟件行業(yè)的領(lǐng)先峰會。

本次共收集了293份有效問卷，主要發(fā)現(xiàn)如下：

在軟件安全方面，目前最迫切需要解決的問題：提升軟件質(zhì)量（44％）；軟件安全性（28％）；創(chuàng)新功能（11％）；按時交付產(chǎn)品（10％）；合規(guī)性（6％）;其它（1％）。

實施SSI的最大挑戰(zhàn)：缺乏熟練的專業(yè)人才或培訓(xùn)（67%）；預(yù)算限制（22%）；不需要SSI（7%） 。

如何開展應(yīng)用安全計劃：擁有負(fù)責(zé)應(yīng)用安全的內(nèi)部團(tuán)隊或?qū)ｉT的安全計劃（62％）；第三方供應(yīng)商負(fù)責(zé)評估應(yīng)用安全和執(zhí)行安全計劃（11％）；綜合以上兩項（14％）；沒有正式的應(yīng)用安全計劃（13％）。

誰負(fù)責(zé)測試軟件的安全漏洞：開發(fā)團(tuán)隊（30％）； IT安全團(tuán)隊（27％）；質(zhì)量保證團(tuán)隊（25％）；產(chǎn)品安全團(tuán)隊（14％）；多團(tuán)隊合作（4％）。

哪種類型的漏洞帶來最嚴(yán)重的安全風(fēng)險：企業(yè)自己開發(fā)的專有代碼中的應(yīng)用程序漏洞（40％）；企業(yè)委托的第三方供應(yīng)商所開發(fā)的專有代碼中的應(yīng)用程序漏洞（30％）；企業(yè)開發(fā)或使用的開源軟件組件中存在的漏洞（30％）。

新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁表示：“這份調(diào)查結(jié)果貼切地反映了現(xiàn)在軟件開發(fā)團(tuán)隊面臨的兩難困境，一方面需要盡快開發(fā)出來新的軟件解決方案；另一方面也要確保產(chǎn)品的安全性和穩(wěn)健性。這兩項任務(wù)都需要時間和資源配合。一旦遇到人員流動的時候，開發(fā)團(tuán)隊更雪上加霜。因此，它們需要像新思科技這樣的企業(yè)提供專業(yè)的軟件質(zhì)量與安全服務(wù)?！?/p>

楊國梁介紹道：“新思科技軟件質(zhì)量與安全部門提供全方位的管理和專業(yè)服務(wù)、產(chǎn)品和培訓(xùn)。我們可以根據(jù)客戶的具體需求定制軟件安全計劃。我們致力于在整個軟件開發(fā)周期中提供支持，助力企業(yè)更加迅速地構(gòu)建安全、高質(zhì)量的軟件?！?/p>

新思科技軟件質(zhì)量與安全部門的調(diào)查問卷還發(fā)現(xiàn)了企業(yè)目前正在尋求哪些軟件應(yīng)用測試解決方案：靜態(tài)分析/靜態(tài)應(yīng)用安全測試（49％）；架構(gòu)風(fēng)險分析/威脅建模（47％）；動態(tài)分析/動態(tài)應(yīng)用安全測試（38％）；交互式應(yīng)用安全測試（30％）；第三方滲透測試（24％）；軟件組成分析（21％）；模糊測試（14％）。