新思科技前瞻2023:软件供应链安全的六大关键趋势

数字经济加速创新，推动产业数字化和数字产业化的发展，数字安全能力已跃升为企业的核心竞争力。然而，2023年伊始，安全威胁形式依然复杂，软件供应链风险愈加受到关注。在数字经济时代，软件安全与客户信任及业务增长之间的关联度更高，因为软件风险已经等同于业务风险。企业都在寻求可靠的安全厂商，加强对软件安全和技术供应链的审查，进而构建可信软件。提升网络安全已经不再是单纯的技术挑战，自上而下的安全意识和文化也不可或缺。基于此，新思科技（Synopsys）在2023年初分享了其观察到的行业趋势，旨在帮助企业推动数字化转型或制定软件安全计划时，做出更加明智、有针对性的决策。

1. 企业如何从被动防御转向主动预防？

长期以来，许多企业的安全策略侧重于攻击发生后的侦查与响应。然而，随着恶意软件、勒索软件和漏洞利用等攻击手段的日益复杂，这种被动模式已难以为继。新思科技软件首席科学家Sammy Migues指出，企业董事会及风险管理委员会已认识到仅依靠侦查性控制不足以抵抗各类攻击，开始投资于预防性控制措施。这种转变意味着安全文化正被定位于企业数字化发展战略的核心位置。能够将安全贯穿于业务中的企业，不仅能更好地应对网络安全挑战，也更有机会获得持续的业务增长。

预防性控制的投资重点通常包括：更早的代码审计、安全设计规范的强制推行以及开发人员的安全培训。根据网宿安全在2024年发布的《2023互联网安全报告》，2023年全球Web应用程序攻击数量达到7309亿次，同比增长30%。面对如此庞大的攻击面，单纯依赖事后补救显然杯水车薪，构建体系化主动安全能力已成为必然选择。

2. 虚拟现实中的安全威胁有多真实？

随着数字化进程加速，从工业自动化到消费级应用，"软硬兼施"已成为常态。新思科技软件质量与安全部门高级安全工程师Boris Cipot强调，无论是工业环境中的可编程逻辑控制器(PLC)转向虚拟化软件，还是面向消费者的物联网（IoT）、万物互联（IoE）乃至元宇宙，这些技术都必须把安全放在首位。虚拟世界的威胁会直接导致物理世界的损失，例如，针对工业控制系统的攻击可能引发生产停滞，针对车联网的攻击可能威胁人身安全。现在黑客攻击依然普遍，危及厂商和最终用户。未来，不符合安全标准的IoE设备将面临被淘汰或禁用的风险。

3. 产品安全问责制如何落地？

2023年，软件安全的责任边界正从技术团队向企业最高管理层转移。新思科技软件质量与安全部门技术总监兼首席设计师Michael White指出，随着美国EO 14028行政命令、欧盟《网络弹性法案》(CRA)以及英国PSTI法案等法律法规的出台或制定，企业领导层必须亲笔签名，确认已采取一切必要措施确保产品的安全开发，并在指定生命周期内提供持续支持，如监控和漏洞响应。

这要求企业不仅要管好内部，还需对外部供应商提出明确的安全要求。更高的透明度成为必须，创建软件物料清单(SBOM)是基础。正如中国信通院在2023年推动的软件供应链安全社区工作所示，SBOM已成为软件供应链安全治理的重要抓手。许多公司开始成立开源项目办公室(OSPO)，以更高效地管理开源组件带来的供应链风险。

构建可信供应链的必备清单

4. 安全工具正如何融入开发流程？

新思科技软件质量与安全部门AppSec客户经理Gunnar Braun观察到，关于应用安全（AppSec）平台的讨论热度不减。开发人员希望通过这些平台，为软件开发生命周期中越来越多的安全工具编排扫描和整合结果。同时，将AppSec工具直接集成到如GitHub等开发人员日常使用的平台中的需求正在攀升。这种从独立安全平台向一体化开发平台的演进，旨在让安全能力更无缝地嵌入DevOps工作流，实现"安全左移"，在不拖慢开发进度的前提下，尽早发现并修复缺陷。例如，中国邮政储蓄银行在其DevSecOps转型中，就将安全工具链嵌入DevOps流水线，覆盖了从代码提交到发布部署的全过程。

5. "软件定义"如何影响汽车行业安全？

新思科技首席汽车安全策略师Dennis Kengo Oka表示，2023年汽车业对网络安全的需求将持续增加，核心驱动力是向"软件定义汽车"的转型。随着自动驾驶等先进复杂解决方案的部署，车辆不仅自身代码量激增，还与后端系统、移动设备紧密相连，整个汽车生态系统的攻击面显著扩大。因此，行业必须遵循UN R155等最佳实践和网络安全标准，覆盖从车辆开发到整个生态系统的安全。这要求车企采用更敏捷的开发方式，进行更快迭代和更早测试，并持续监控安全漏洞。

6. ASOC为何成为缓解安全团队压力的关键？

产品迭代速度不断加快，给安全团队带来了巨大的资源管理和修复挑战。新思科技中国区软件应用安全业务总监杨国梁指出，应用安全编排和关联（ASOC）在应对这些挑战中正发挥着越来越关键的作用。ASOC通过工作流自动化来简化漏洞测试和修复，其核心价值在于提升DevSecOps的效率。

ASOC（现也常被称为应用安全态势管理ASPM）能够改进资源分配、实现集中式漏洞管理、提供更好的风险视图，并自动化安全流程。根据Black Duck《2023年全球DevSecOps现状报告》，在接受调研的1000名开发者、安全专家及CISO中，已有28%的受访者表示正在使用ASOC/ASPM解决方案。该报告还显示，超过80%的受访者表示，处理已部署软件的关键漏洞影响了他们2022-2023年的交付日程。随着安全要求的不断增多，ASOC无疑将在缓解安全和开发团队负载方面扮演至关重要的角色。

综上所述，2023年软件安全行业正站在一个新的十字路口。从被动防御到主动预防，从物理世界到虚拟世界的安全延伸，从模糊的责任界定到明确的法律问责，从割裂的工具链到无缝集成的开发平台，从传统IT到软件定义汽车，从分散的漏洞管理到集中的ASOC编排，每一个趋势都指向同一个方向：在数字化浪潮中，构建可信软件已成为企业的核心竞争力，而这需要战略层面的重视、体系化的建设以及全流程的工具落地。

关键词：软件供应链安全 DevSecOps SBOM 

本文为【广告】 文章出自：互联网,文中内容和观点不代表本网站立场，如有侵权，请您告知，我们将及时处理。