如何保障金融服务行业软件安全？新思科技给出了解决方案_雷竞技须安全稳定

【雷竞技须安全稳定网络频道】在7月26日的媒体沟通会上，新思科技软件质量与安全部门高级安全架构师杨国梁介绍了最新的《金融服务行业软件安全现状》报告(The State of Software Security in the Financial Services Industry)，并与媒体分享了新思科技对金融服务行业软件安全的深刻洞察。

新思科技软件质量与安全部门高级安全架构师杨国梁

报告显示，受访者普遍反映他们的业务遭受过由于不安全软件导致的宕机、数据泄露、被勒索等问题。此外，还有一些比较难以量化的后果，包括损失客户、业务受影响等等。为了避免出现类似情况，渗透测试、动态安全测试和安全补丁管理被认为是降低网络攻击风险最有效的三种举措。

“如果你仔细观察就会发现，这些防御网络攻击的举措都有一个共同点，那就是开展阶段都非常晚。在系统已经写好，甚至是上线之后，才着手去做渗透测试、安全补丁管理，这些都属于是更偏于事后补救的动作。”杨国梁指出，“一些优秀的行业实践，可能会希望在整个软件构建，或者说整个软件开发的过程中，能够尽量将这种安全问题‘向左移’，也就是向着开发的阶段去解决这些安全问题。”

当前，开发者使用第三方组件已经成为了一种普遍现象。事实上，第三方组件就像是一把双刃剑，在节省开发时间、避免重复造轮子的同时，也会带来安全漏洞。“不能说这个组件能满足软件的某些功能，就直接拿过来用，同时也要考虑到它所带来的安全风险，软件开发者首先要认识到这一点。”杨国梁说。

在他看来，全球的金融机构对于这种第三方组件的管理都是比较薄弱的。只不过有一些头部厂商做了一些尝试和方案，在软件安全防范方面会做的比较好。比如有部分厂商会开展软件开发生命周期早期的安全流程(SDLC)，还有更多的企业会在内部自建一些安全开发流程。不过，从调查机构调查的结果来看，不管是金融机构内部还是外部，遵循安全软件开发生命周期流程的比例都不高，这可能与软件开发从传统的瀑布模型向微服务转型有关。但是，从目前安全在集成到开发的阶段，这些金融机构做的都不太理想。

事实上，基于金融服务行业面临的种种安全风险，引入一个专业、权威的评估工具就显得尤为重要。这里就要提到，新思科技旗下的黑鸭(Black Duck)解决方案。据了解，NorthEdge公司采用了黑鸭的审计服务进行开源审计，来识别可能影响公司出售Utiligroup出现的潜在问题。具体来说，黑鸭审计在交易完成时能保证不存在任何危险或者潜在问题，或者在交易完成前识别出风险。这样双方就能将一些风险规避掉，这会对业务或者说对整个收购的行为、最终的价格产生直接的影响。

那么，除了黑鸭解决方案，还有哪些衡量软件安全的解决方案可用呢？杨国梁介绍说，“新思科技在2008年构建的软件安全构建成熟度模型BSIMM现已更新到BSIMM9，该模型的框架主要有四个领域组成：Governance(治理)、Intelligence(智能)、SSDL Touchpoints(SSDL触点)、Deployment(部署)，在四个领域下分别对应了12个不同的practice，基于这12个practice衍生出来了116个不同的安全事件。BSIMM模型每年会更新一次，剔除不用的事件，加入新的安全事件，确保评估数据的新鲜度。可以说，BSIMM代表着未来安全发展的趋势。”