雖然2020年有很多不穩定的因素，而且疫情下的軟件安全形勢更加復雜，但是新思科技依然能清晰看到2021年軟件應用安全的六大趨勢。新思科技軟件質量與安全部門相信隨著軟件安全投入持續增加，市場規模將進一步擴大，發展潛力也將更多地被激發出來。掌握未來趨勢，有助于在來年更快地構建安全、優質的軟件。

　　1.API安全、云應用安全及應用安全編排服務需求增加

　　正如DevOps在過去幾年對應用安全實踐所產生的深遠影響一樣，在新冠肺炎疫情爆發的這一年，云技術加速應用正在進一步重塑軟件安全格局。

　　盡管DevOps呈現了軟件構建、交付和運行方式的變革，但應用程序的架構、組成和定義也在迅速發生變化，并引發人們對軟件安全策略的重新思考。未來一到兩年，快速交付速度和云轉型的雙重壓力將對軟件安全市場產生重大影響。

　　在過去的五到十年，軟件安全已從“掃描-報告”式的審核思維方式演變為安全保障實踐，在提高安全的同時不會犧牲速度和創新。隨著開源使用增加，開源和第三方組件的許可證濫用和安全漏洞風險也提高了，因此軟件組成分析已經成為安全保障計劃的關鍵。隨著云基礎架構、微服務和API的廣泛應用，新思科技看到了應用程序在定義上也發生了類似，甚至是更大的轉變--越來越多的第三方服務、API、微服務和云原生組件服務的集成都通過云提供商或托管編排平臺（如Kubernetes）來進行應用編排。

　　新思科技軟件質量與安全部門總經理Jason Schmitt表示：“為了領先于云轉型，軟件安全將進一步升級，成為基于風險的漏洞管理服務，作為軟件構建和交付流程的一部分將安全服務自動化并進行編排。”

　　2.網上交流和數字交易激增，網絡攻擊的整體攻擊面擴大

　　隨著疫情在全球蔓延，網上交流和數字交易激增。同時，企業遭受網絡攻擊的總體攻擊面也大幅增加。大多數企業對此沒有充足的應對準備。

　　現在，企業不得不改變他們的流程、服務和技術，以達到客戶期待，解決其生存危機。這要求在不損害組織和客戶數據安全及隱私的情況下靈活行事。企業必須采取靈活的解決方案，同時保護企業自身及客戶數據的安全和隱私。

　　新思科技交互式應用安全測試產品管理高級經理Asma Zubair預測道：“因此，我預計在未來的幾個月，越來越多的企業將擁抱DevSecOps等概念。DevSecOps描述了一種企業文化，通過這種文化，可以優化軟件開發、測試和部署實踐流程，縮短發布周期并持續交付軟件。交互式應用安全測試（IAST）是一種基于代理的技術，可以檢測Web應用程序中的漏洞。我預計IAST在2021年的使用還會增長。”

　　3.技術和企業層面均需考慮網絡安全

　　2020年，ISO / SAE 21434網絡安全工程標準草案出臺，聯合國世界車輛法規協調論壇（WP.29） 對網絡安全和軟件更新的法規也開始采用。這些標準和法規更加重視汽車行業的網絡安全，并將極大地影響汽車制造商和供應商，尤其是在未來幾年。我們需要從技術及企業層面來考慮網絡安全。

　　新思科技首席汽車安全策略師Dennis Kengo Oka指出：“這包括建立網絡安全文化意識以及實現網絡安全的管理和培訓。此外，汽車企業在明年會需要采用網絡安全工程流程，包括安全軟件開發流程。隨著汽車系統使用越來越多的軟件，對于汽車行業來說，部署自動化解決方案以幫助在軟件開發初期發現和修復軟件漏洞變得非常重要。”

　　4.應用團隊將更多地采用DevSecOps流程

　　2021年，應該正式摒棄集中、孤立的軟件安全模式。許多企業最初采取的這種模式頗不成熟，因為這一做法意味著只有一個團隊負責所有正在構建中的應用的安全。時間證明，這種做法不僅拖慢流程還讓團隊成員身心俱疲。最終，安全團隊和開發團隊會陷入僵局，導致應用程序安全性低且上市緩慢。

　　在新模型中（我們可以稱之為軟件安全2.0），安全與軟件開發緊密結合。它貫穿于設計、實施、維護的每個階段。安全團隊提供專業知識支持，但是安全防護是自動化的，并與軟件開發流程集合，可以無縫添加，從而構建出更安全、優質的產品。

　　新思科技高級安全策略師Jonathan Knudsen表示：“2021年，我預計在安全團隊的適當支持下，越來越多的應用團隊將對安全性承擔全部責任。隨著職責和預算的變化，應用團隊將更廣泛使用DevSecOps流程。憑借DevSecOps，團隊可以充分利用自動化，最大限度提速，并且持續改進的企業文化使每個團隊都可以對流程進行調整及優化。”

　　5.使用低代碼或無代碼將“Sec”（安全）真正構建到DevOps中

　　在過去的一年里，新思科技看到越來越多的團隊使用低代碼/無代碼平臺快速構建應用程序。應用安全測試工具（Application Security Testing，簡稱AST），尤其是靜態應用安全測試工具（Static Application Security Testing，簡稱SAST）在執行代碼掃描時效果最佳。SAST工具的工作方式可能需要在近期進行修改以適應這些平臺。

　　新思科技產品管理高級總監（DevOps解決方案）Meera Rao表示：“我設想將安全內置到軟件中的方式將發生變化。越來越多的AST工具將朝著提供與低代碼/無代碼平臺相同的體驗的方向發展。通過為工具提供一些輸入，它們將能夠生成在本地或云端無縫運行該工具所需的所有集成，就像低代碼/無代碼平臺一樣。”

　　6.大規模的安全“向左移”

　　目前，應用程序漏洞依然形式嚴峻，甚至安全設備廠商本身都有大量的易受攻擊的安全漏洞。公司安全團隊的地位雖然有所提高，但仍然沒有受到足夠的重視，并且基本上都受困于人手不足的狀態。僅有的人手往往要對線上安全問題疲于奔命，很少有精力兼顧開發過程的應用安全。

　　安全“向左移”的概念已經開始被業界所廣泛接受，開源供應鏈風險評估體系、研發運營安全能力成熟度模型等內容的相繼發布，將使得企業更加重視開發過程中的安全活動。企業會在應用開發安全上投入更多的資源，尤其是開源組件治理、白盒代碼檢查等收益顯著的安全活動。

　　新思科技軟件質量與安全部門高級安全架構師楊國梁表示：“希望在2021年可以看到業界能夠更大規模地將安全‘向左移’的思想在整個開發生命周期中貫徹落實，在賦予安全團隊更大權力的同時，加強安全團隊與開發團隊的互動，共同商議更加符合企業目標的安全方案。”