开发安全现状及趋势分析:政策、市场与技术的三重体现,SEO营销服务
栏目:网络推广 发布时间:2024-11-09
全文共3491字,阅读时间约7分钟。 第 1 部分 安全发展现状及趋势分析 目前,一些企业已经充分认识到开发安全在软件全生命周期中的重要性,国家也逐步要 ... 开发安全现状及趋势分析:政策、市场与技术的三重体现
全文共3491字,阅读时间约7分钟。
第 1 部分
安全发展现状及趋势分析
目前,一些企业已经充分认识到开发安全在软件全生命周期中的重要性,国家也逐步要求企业从重点行业入手,提升软件安全开发能力。这体现在宏观政策、市场现状、技术趋势三个方面:
宏观政策:《网络安全法》第三十三条规定,关键信息基础设施建设应当保证其性能支撑业务稳定持续运行,并保证安全技术措施同步规划、同步建设、同步使用。这完全符合应用程序开发安全理念,即构建意味着合规性。
市场现状:2020年开发安全市场逐步发展,可以从企业自身对开发安全重要性的认识、企业客户加大开发安全预算投入、安全厂商持续涌入三个维度看出。
技术趋势:该概念于2018年RSA大会上提出,受到国内企业追捧。作为安全领域逐渐进入成熟阶段的技术体系,其本质上继承了软件安全开发整个生命周期中安全门槛左移的理念。
软件安全开发的全生命周期模型早已存在,并且有成熟的安全理论体系开发方法。可供参考的国内外知名模型框架有微软的SDL、OWASP的S-SDLC和CLASP、NIST SP800-64、BSIMM、SAMM等。软件安全开发流程、各阶段所需的安全活动以及持续运行后的评估体系都可以参考上述模型。然而,国内大多数企业在尝试开发安全系统时都会遇到很多问题,导致实施起来困难重重。主要痛点包括:
1)软件安全开发的整个生命周期过程复杂,与大多数企业软件开发流程不兼容,难以有效控制;
2)企业缺乏自动化工具和可视化平台的支持。面对迭代开发和持续交付,提高效率是迫切需要解决的问题;
3)市场缺乏安全开发专业人员,具体的开发安全工作高度依赖人员的安全能力,无法有效落实;
4)企业缺乏对开发安全实践的评估和审计能力,导致无法判断实施效果并针对相应的安全活动进行有效改进,最终流于形式。
因此,无论是管理层还是参与具体开发安全工作的团队都应该从可行性维度考虑企业对于开发安全能力建设的思路,如何闭环,如何量化,如何不影响开发进度,如何自动化、智能化等,以期在实践中取得更好的实施效果。
第2部分
安全能力建设思路要点
1、构建适合企业自身的发展保障体系
一是全面排查企业发展模式和安全状况。了解企业内部相关信息后,评估现有安全实施流程、最新监管要求和行业最佳实践之间的差距,并听取部门相关人员对安全指南的意见和建议。 ,为安全开发体系的构建、修订和实施提供依据。
第 1 部分
安全发展现状及趋势分析
目前,一些企业已经充分认识到开发安全在软件全生命周期中的重要性,国家也逐步要求企业从重点行业入手,提升软件安全开发能力。这体现在宏观政策、市场现状、技术趋势三个方面:
宏观政策:《网络安全法》第三十三条规定,关键信息基础设施建设应当保证其性能支撑业务稳定持续运行,并保证安全技术措施同步规划、同步建设、同步使用。这完全符合应用程序开发安全理念,即构建意味着合规性。
市场现状:2020年开发安全市场逐步发展,可以从企业自身对开发安全重要性的认识、企业客户加大开发安全预算投入、安全厂商持续涌入三个维度看出。
技术趋势:该概念于2018年RSA大会上提出,受到国内企业追捧。作为安全领域逐渐进入成熟阶段的技术体系,其本质上继承了软件安全开发整个生命周期中安全门槛左移的理念。
软件安全开发的全生命周期模型早已存在,并且有成熟的安全理论体系开发方法。可供参考的国内外知名模型框架有微软的SDL、OWASP的S-SDLC和CLASP、NIST SP800-64、BSIMM、SAMM等。软件安全开发流程、各阶段所需的安全活动以及持续运行后的评估体系都可以参考上述模型。然而,国内大多数企业在尝试开发安全系统时都会遇到很多问题,导致实施起来困难重重。主要痛点包括:
1)软件安全开发的整个生命周期过程复杂,与大多数企业软件开发流程不兼容,难以有效控制;
2)企业缺乏自动化工具和可视化平台的支持。面对迭代开发和持续交付,提高效率是迫切需要解决的问题;
3)市场缺乏安全开发专业人员,具体的开发安全工作高度依赖人员的安全能力,无法有效落实;
4)企业缺乏对开发安全实践的评估和审计能力,导致无法判断实施效果并针对相应的安全活动进行有效改进,最终流于形式。
因此,无论是管理层还是参与具体开发安全工作的团队都应该从可行性维度考虑企业对于开发安全能力建设的思路,如何闭环,如何量化,如何不影响开发进度,如何自动化、智能化等,以期在实践中取得更好的实施效果。
第2部分
安全能力建设思路要点
1、构建适合企业自身的发展保障体系
一是全面排查企业发展模式和安全状况。了解企业内部相关信息后,评估现有安全实施流程、最新监管要求和行业最佳实践之间的差距,并听取部门相关人员对安全指南的意见和建议。 ,为安全开发体系的构建、修订和实施提供依据。