引言
日前,全球领先的IT咨询机构IDC(International Data Corporation)发布《IDC Innovators: 中国DevSecOps技术,2022》(Doc # CHC47745422)。IDC基于对DevSecOps生态链中各厂商的分析,从公司规模、产品技术,到行业和客户,生态系统建设以及未来发展战略等方面对该领域的新兴公司进行了考察,最终,【安全玻璃盒】孝道科技以自主研发国内首个“All in one三合一”交互式应用安全检测和开源成分安全分析与免疫防御一体化平台,实现DevSecOps技术创新和独具示范性等独特优势成为IDC中国DevSecOps技术创新者。
IDC Innovators:安全左移,DevSecOps创新厂商助力企业构建原生安全
IDC简介
国际数据公司(IDC )是全球著名的信息技术、电信行业和消费科技咨询、顾问和活动服务专业提供商。IDC在全球拥有超过 1100名分析师,为110多个国家的技术和行业发展机遇提供全球化、区域化和本地化的专业视角及服务。IDC的分析和洞察助力IT专业人士、业务主管和投资机构制定基于事实的技术决策,以实现关键业务目标。
【安全玻璃盒】孝道科技入选DevSecOps创新者
报告说明
IDC最近的调查数据显示,在所有受访企业中,2021年发布新产品功能的准备时间为一个月或更短的企业比例为90.5%,这一比例在2020年仅为64.5%;而在1-2周内交付新功能的企业比例相比2020年翻了一番。同时,有超过50%的企业表示他们在过去的12个月内遇到了违规行为,其中38%的企业承认他们经历了多次安全漏洞,而增加代码扫描频率被认为是在短期内减少安全风险的行之有效的方法。上述情况的转变使得软件开发者不能再像以往一样将软件的安全测试置于开发流程的末端,而是需要将安全融入到开发流程的每个阶段,从而增强软件的安全性、合规性,并有效降低解决安全问题的成本。
IDC认为,随着数字经济的快速发展,未来将有越来越多的企业转型为软件生产商,而软件也将推动企业在未来激烈的市场竞争中保持创新能力并建立优势地位。伴随着“安全左移”理念成为软件行业的共识,DevSecOps将成为帮助企业实现原生安全的重要助力。
DevSecOps通过全新的方法论和配套工具链将安全能力嵌入到整个DevOps体系中,以提供准确、安全的开发结果,而不耽误软件更新的交付。此外,DevOps团队对提高安全知识和技能的需求也被提升为优先事项,这表明企业不仅在寻找DevSecOps工具,获得安全编码实践的培训也很重要。
《IDC Innovators: 中国DevSecOps技术,2022》(Doc # CHC47745422)对入选创新者的产品和客户案例进行深入的分析,阐明了其差异化特点以及面对的挑战,帮助IT技术购买者选择技术供应商时,发现最新的IT技术,并找到新产品的评估方法。
IDC观点解读
一、创新者特点
【安全玻璃盒】孝道科技拥有基于业内领先AI智能动态污点分析技术的交互式应用安全测试系统IAST;国内首个“All in one三合一”交互式应用安全检测和开源成分安全分析与免疫防御一体化平台ASTP;均首选金融机构生产环境实现部署和应用以迭代最优的实战安全性能;基于智能自动化数据采集和码纹分析、深度依赖关系分析、二进制代码片段分析等核心技术的开源软件安全分析系统SCA;基于深度学习技术、稀疏定理证明技术的智能分析算法的源代码审计系统SAST;以DevSecOps为指引,通过自主研发安全开发一体化管理平台SDMP,真正将安全能力集成到DevOps的各个阶段。既能实现无缝融合,又能实现切面解耦。同时将各个阶段的安全开发原子能力实现统一管理、协同验证和安全左移自动化。这是DevSecOps真正意义上的创新实践示例,是目前最符合“安全左移”理念且能够真正落地并带来应用价值的安全平台和创新架构。
二、差异化特点
· 交互式应用安全测试系统IAST在实现全面精确的漏洞检测和代码层漏洞定位基础上,能完全适应微服务、容器、API等云原生技术场景,且能实现云原生环境下的隐私合规检测、API安全检测。
· 国内首个“All in one三合一”交互式应用安全检测和开源成分安全分析与免疫防御一体化平台ASTP,让同一个探针实现应用及开源成分检测和免疫防御一体化,既能确保业务上线即安全,避免应用带病运行。又可应用于生产环境,通过应用系统正常的业务使用即可同步完成安全检测,当发现漏洞或遇到异常攻击时立即激活自适应防护机制,实现“攻防结合”,赋予数字应用具备“自我检测与自我免疫”安全能力。
· 开源软件安全分析系统SCA可精确实现二进制的代码片段分析和对高危漏洞触发的过程溯源和验证分析,同时可实现对开源软件供应商的安全评估。
· 安全开发一体化管理平台SDMP将不同的安全开发原子能力形成智能交互和协同验证,提升工作的效率和检测的精确度。如:根据源代码审计系统的漏洞风险元数据,通过SDMP平台与IAST的自动化验证模块形成智能交互和自动化验证。
【安全玻璃盒】观点
随着系统软件、支撑软件、应用软件、安全软件、工业软件等高速发展,供应链安全事件频发(如log4j2),对用户隐私、财产安全及国家安全造成严重威胁,直接关系国家关键基础设施和重要信息系统安全。
我们认为,在软件开发生命周期(SDL)开始引入DevSecOps概念,是目前能最大程度减少软件代码中漏洞的活动。在 DevOps 工作时集成安全控件、工具和流程,使软件交付的每个阶段启用自动安全检查,确保安全能够融入每个开发阶段和节点,这就是“安全左移”。安全建设重心从“运行时防护”转向“安全前置” -上线即安全,从外部安全建设应转向内生安全(云原生安全),使安全成为软件自身的基本属性。
数字设施是国家治理、社会运转、科技发展的必备基础要素,是实现数字中国、科技强国建设的关键支撑,软件安全也成为当今社会根本性、基础性问题。随着数字化基础设施的安全威胁的复杂性增加,DevSecOps 将在安全开发和软件供应链安全建设中发挥更加关键的作用。【安全玻璃盒】孝道科技始终将业务发展和战略定位焦点于DevSecOps 实践的核心技术工具上,并将这些工具可以再次扩展、集成形成更加高效自动化的“安全堡垒”,重组数字应用安全基因,实现安全开发和软件供应链的“原生性安全免疫”。