數字化轉型如火如荼，負責網絡安全和風險管理的團隊也肩負起更多責任。同時，遠程辦公以及云上的數字業務運營也給帶來了新威脅。

提升網絡安全或者軟件安全已經不再是單純的技術挑戰，自上而下的安全意識和文化也不可或缺。2023年，安全威脅形式依然復雜，軟件供應鏈風險愈加受到關注。在數字經濟時代，軟件安全與客戶信任及業務增長之間的關聯度更高，因為軟件風險已經等同于業務風險。新年伊始，新思科技與大家分享觀察到的行業趨勢，希望能夠幫助企業推動數字化轉型或者制定軟件安全計劃的時候，做出更加明智、有針對性的決策。

1.      企業開始投資安全預防控制措施

新思科技軟件首席科學家Sammy Migues指出：“企業，尤其是董事會及內部風險管理委員會發現僅依靠偵查性控制去識別已存在的風險已經不足以抵抗各類攻擊，比如惡意軟件、勒索軟件、漏洞利用或其它安全攻擊。他們開始投資預防性控制措施。”

董事會或者企業高層決策者參與到軟件安全計劃，有助于將安全文化定位于企業數字化發展戰略的重要位置。DevOps 和 DevSecOps 是企業文化變革。能將安全貫穿在業務中的企業可以更好地應對網絡安全挑戰，更有機會獲得持續的業務增長。

2.      虛擬現實里的安全威脅真實存在

新思科技軟件質量與安全部門高級安全工程師Boris Cipot表示：“近年來，數字化已經成為重要議題。每家企業都可以說是軟件企業，或者依賴于軟件運營。傳統的硬件廠商也開始采取‘軟硬兼施’的策略。比如在工業自動化企業，可編程邏輯控制器(PLC)這樣的硬件部件開始轉向在計算機系統上運行的虛擬化軟件。虛擬現實、增強現實或者元宇宙是更高水平的數字化體現。物聯網(IoT)或者說萬物互聯(IoE)發展將給我們的日常生活帶來更多變化。但無論如何，這些技術或者設備都必須把一件事情做好，那就是安全。”

現在黑客攻擊或者漏洞利用依然普遍，危及到廠商和最終用戶。明年及未來幾年，IoE技術會進一步發展，與其有關的安全技術概念也將產生。很多不符合規定標準的設備將被淘汰或者禁用。

3.      產品安全問責制度更加明確

新思科技軟件質量與安全部門技術總監兼首席設計師Michael White表示：“許多國家和地區已經頒布或者正在制定法律法規以落實安全責任，比如美國EO 14028行政命令、歐盟 CRA條例以及英國 PSTI法案等。企業領導層必須簽名，以表明他們已經采取了一切必要措施以確保產品的安全開發，并提供持續的支持，例如：在指定的生命周期內進行監控以及持續的漏洞響應（例如推出補丁）。”

此外，由于每家企業都處在供應鏈之中，而且大部分是位于中間環節。這意味著不僅要在企業內部，還要要求外部供應商或合作伙伴提供可信證明，以支持產品安全開發。更高的透明度是必不可少的。在創建軟件物料清單(SBOM)的同時，還需要一整套監管制度，掌握使用了哪些工具、執行了哪些測試等信息。為此，很多公司開始成立開源項目辦公室(OSPO)，以更高效地管理軟件供應鏈安全。

4.      從安全平臺到開發平臺

新思科技軟件質量與安全部門AppSec客戶經理Gunnar Braun指出：“關于應用安全平臺的討論熱度不減。開發人員通過這些平臺，為軟件開發生命周期(SDLC) 中越來越多的 AppSec 工具編排掃描和整合結果。相信在2023年依然如此。同時，我們也看到了對AppSec 工具的需求正在攀升，以將其集成到 GitHub 等開發平臺中。”

5.      軟件定義浪潮席卷汽車業

新思科技首席汽車安全策略師Dennis Kengo Oka表示：“2023 年，汽車業對網絡安全的需求將持續增加，因為車輛開發更多地轉向‘軟件定義汽車’。汽車業正在部署更先進和更復雜的解決方案，包括自動駕駛，不僅涉及車輛本身，還涉及后端系統和用戶的移動設備。 這種汽車生態系統的攻擊面自然也會隨之增加。因此，汽車業必須繼續遵循最佳實踐和網絡安全標準，不僅面向車輛開發，而且覆蓋整個汽車生態系統。 特別是在軟件開發方面，汽車廠商采用更敏捷開發方式，更快進行開發和更早執行測試，以盡早發現和修復缺陷。持續監控安全漏洞的需求也正變得越來越多。”

6.      ASOC將發揮越來越關鍵的作用

新思科技中國區軟件應用安全業務總監楊國梁表示：“應用安全編排和關聯(ASOC)是AppSec解決方案的一個環節，通過工作流自動化來簡化漏洞測試和修復工作。其最重要的優勢在于能夠提高DevSecOps的效率。產品迭代的速度越來越快，這一點在2023年也依然不會改變。敏捷開發需要更快的速度和更有效的工具。但如何對資源和修復活動進行高效管理給安全團隊帶來了巨大的挑戰。ASOC 則在幫助應對這些挑戰方面發揮著關鍵作用：改進資源分配、集中式漏洞管理、更好地了解風險、連續和自動掃描以及自動化AppSec流程。隨著對安全團隊的要求不斷增多，越來越多的安全漏洞將使得安全和開發團隊負載過重， ASOC無疑將在緩解該負載方面發揮越來越關鍵的作用。”