(资料图片仅供参考)
2022年12月13日-14日,由中关村金融科技产业发展联盟、中关村互联网金融研究院、中国互联网金融三十人论坛主办的“2023第十届中关村金融科技论坛年会暨2022‘光大杯’中关村番钛客金融科技国际创新大赛颁奖典礼”在“云端”举办。论坛年会为期两天,包含主题演讲、圆桌对话,发布优秀案例、金融科技与数字普惠报告、《web3.0》图书、中关村金融科技30强、金融科技竞争力报告等多个重要板块。50余位行业专家齐聚一堂,共谋金融科技领域的前沿热点,共克时艰、共话未来!
数世咨询创始人兼总经理李少鹏、工银科技有限公司安全负责人王贵智、北京酷德啄木鸟信息技术有限公司副总经理杨临庆、火线安全创始人&CEO邬迪、比瓴科技创始人&CTO贝松涛参加本次论坛年会并做精彩发言。贝松涛表示,开发安全和网络安全经过这个十几年的发展,在各方面都已经非常完善,能够自适应一系列的迭代。目前,开发安全领域还不成熟,处于早期阶段。杨临庆表示,从2017年开始,客户越来越重视开发安全。从《网络安全法》公布以来,各行各业加速数字化转型,开发安全的初创企业如雨后春笋般出现。王贵智表示,促进整个平台一体化发展,需要两股发展力量来促进。一是技术的变化,二是业务的变化。对于未来开发与应用安全的发展趋势,与会人员一致认为,一个整体的趋势是持续应用安全,也就是提供一体化解决方案。此外,如何做好生态的配合,不仅是供应商的技术,也需要产品和用户的主动配合。
以下内容根据速录内容整理:
圆桌会议由数世咨询创始人兼总经理李少鹏主持,圆桌嘉宾包括工银科技有限公司安全负责人王贵智、北京酷德啄木鸟信息技术有限公司副总经理杨临庆、火线安全创始人&CEO邬迪、比瓴科技创始人&CTO贝松涛。
李少鹏表示,持续应用安全这个词稍微有点陌生,但实际上如果是业内比较资深的人,其实知道这是开发安全软件社区里面比较流行的趋势。那么到底这个它意味着什么?现在的开发商应用完全变成了问题,是今天要探讨的事情。软件安全、应用安全、开发安全、供应安全等是特殊领域,该领域在过去和现在的认知,有没有可以跟大家分享的?
贝松涛表示,开发安全和网络安全经过这个十几年的发展,在各方面都已经非常完善,能够自适应一系列的迭代。这几年开发安全面临的问题爆发,但是不像网络安全问题那么多。目前,开发安全领域还不成熟,处于早期阶段。业界对开发安全的重视程度非常高,从需求方来看,银行业务很依赖信息科技,在开发过程中要满足功能性需求,在相对资源紧缺的前提下,要完成业务需求,安全需求可能往往被放在了相对次要的位置。运维安全从后台到了前台,随着运维爆发出来的安全风险问题,衍生出应用安全生命周期管理。从供给侧来看,不同行业、不同客户的差别很大,很难有一个标准的方法使任何一个客户都能用。
杨临庆表示,从2017年开始,客户越来越重视开发安全。从《网络安全法》公布以来,各行各业加速数字化转型,开发安全的初创企业如雨后春笋般出现。白盒技术更老,原来是以国外产品为主。目前这个阶段,国产的白盒工具做的不错了,各方面性能也好,技术指标也好,不比国外产品差。白盒最大的优点就是检出率高,而且应用范围比较广,不受语言的限制,不仅能检测这种安全的缺陷,包括质量的缺陷。所以白盒的最大的优势是应用范围更广,但是缺点就是误报特别高,对客户的实施、客户的专业代码水平要求也特别高。
邬迪表示,如果把开发安全算到应用安全这个领域的话,是非常有潜力的行业。相关报告显示,2020年应用方面的漏洞占比是75%,2021年最新的数据达到76.2%,今年上半年仍在持续上升,应用的漏洞在总的漏洞里面的比例还在上升。这其中一个原因就是应用的爆发。开发安全里面很重要的一个新兴的技术是交互式测试,也叫灰盒测试。该技术时间并不短,但没有充分普及。此外,有些用户内部对测试环境还是比较敏感。这就需要安全团队去说服研发团队去做灰盒测试。
王贵智表示,从自己十几年的从业经历来看,促进整个平台一体化发展,需要两股发展力量来促进。一是技术的变化,二是业务的变化。业务的变化这块,以金融行业为例,10年前网银逐步被大家接受,开始有手机银行,现在来看,不仅是手机银行业务,连远程办公都受疫情影响。测试环境为什么不能够去做交互,一个原因是站在用户视角,测试环境不是自己说了算。关联的协同方共同维护一个测试环境,可能要协调100个测试,难度很大。这就要求在业务场景、应用和底层工具支撑中加一个平滑过度的支撑层,而这个支撑层要向上兼容业务场景,向下兼容技术能力,机会成本、沉淀成本会比较低。技术的革新方面,如果平台能够实现兼容,必须要有一个中间的平滑板。
对于未来开发与应用安全的发展趋势,与会人员一致认为,开发安全和应用安全的重要性持续提升,相关企业如雨后春笋般出现,产业和用户方面都已经饱和。同时,一个整体的趋势是持续应用安全,也就是提供一体化解决方案。此外,如何做好生态的配合,不仅是供应商的技术,也需要产品和用户的主动配合。