如今,黑客能夠在操作系統(tǒng)層面利用的中高危險漏洞已逐漸減少,大量黑客開始轉(zhuǎn)移“陣地”,利用軟件應(yīng)用層的漏洞進行攻擊,比如Log4j2、XSS等漏洞,將矛頭指向了眾多的軟件開發(fā)企業(yè)(以下簡稱ISV)。

以Log4j2漏洞為例,據(jù)公開報道顯示,Log4j2是面向Java應(yīng)用的開源日志組件工具,被世界各組織和企業(yè)廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。黑客可以利用其漏洞在受影響的系統(tǒng)上安裝惡意軟件,在全球計算機領(lǐng)域釀成巨大的安全危機。此漏洞被披露后,僅數(shù)天時間就產(chǎn)生了數(shù)十萬次針對該漏洞的網(wǎng)絡(luò)攻擊。

由此可見,應(yīng)用軟件層面的漏洞逐漸成為軟件開發(fā)企業(yè)安全問題產(chǎn)生的“罪魁禍首”,多數(shù)ISV面臨這類漏洞攻擊時,往往缺乏專業(yè)的安全能力和安全團隊,導(dǎo)致安全風(fēng)險識別滯后、應(yīng)用安全問題處理效率低,遭受軟件安全漏洞帶來的一系列嚴重損害。

作為一家軟件開發(fā)企業(yè),

你是否還在為軟件安全漏洞發(fā)愁?

在軟件開發(fā)階段,

身陷應(yīng)用軟件交付效率低、軟件安全合規(guī)性差、軟件開發(fā)投入產(chǎn)出比低的困擾?

莫愁!深信服數(shù)字應(yīng)用安全平臺助你安心 “躺贏”!

在軟件應(yīng)用的開發(fā)測試階段,深信服從軟件安全問題產(chǎn)生的源頭入手,為廣大ISV伙伴打造數(shù)字應(yīng)用安全平臺(以下簡稱“DASP”),將自身在網(wǎng)絡(luò)安全領(lǐng)域20多年的技術(shù)積累打包成標準化能力,并以SDK方式面向ISV伙伴提供包含殺毒引擎、零信任等在內(nèi)的安全組件及能力,讓ISV伙伴實現(xiàn)安全能力的快速獲取、按需所取。

具體而言,DASP通過構(gòu)建應(yīng)用安全能力aSecPaaS中臺,為ISV伙伴打造了業(yè)界標桿的安全SDK商店,幫助ISV實現(xiàn)安全開發(fā)工具鏈和豐富的aSecPaaS能力的一站式獲取。SDK商店支持靈活選擇和自由搭配,ISV可以先對自身應(yīng)用軟件安全需求進行“量體裁衣”,然后像添加購物車一樣,可靈活選擇各項專業(yè)安全能力一鍵植入到自身軟件應(yīng)用中,快速提升自身產(chǎn)品安全性,有效滿足用戶端安全需求。

^深信服數(shù)字應(yīng)用安全平臺SDK商店安全組件及服務(wù)總覽

此外,平臺通過安全左移的方式,實現(xiàn)在數(shù)字化應(yīng)用開發(fā)階段的默認安全加固,幫助ISV真正實現(xiàn)安全與應(yīng)用的同步規(guī)劃、同步構(gòu)建,以內(nèi)建的方式提供覆蓋應(yīng)用開發(fā)、承載環(huán)境及運行過程的全生命周期安全保護。

ISV在交付應(yīng)用軟件時,通常面臨用戶提出的安全合規(guī)性要求,如:要求軟件上線前需具備安全檢測報告,要求對安全漏洞進行掃描并完成修補。但這對于安全能力普遍不足的ISV而言并不是一件輕松的事情,軟件的安全性問題已經(jīng)成為拖累交付效率的一大重要因素。

DASP通過檢測服務(wù)和安全SDK,幫助ISV快速補齊軟件上線前的安全檢測及安全漏洞修補能力。通過軟件上線安全檢測功能,DASP能夠在軟件上線前對ISV伙伴開發(fā)的軟件進行系統(tǒng)性的安全掃描,并出具權(quán)威的安全報告,預(yù)知風(fēng)險。此外,DASP內(nèi)置的SDK商店還能“對癥下藥”,智能化地為ISV伙伴提供全漏洞修補建議,并配套對應(yīng)的安全SDK能力,快速解決安全問題,助力ISV軟件交付快人一步。

當(dāng)前,多數(shù)ISV內(nèi)部缺乏專業(yè)的應(yīng)用安全開發(fā)人才,軟件修復(fù)能力弱且缺乏有效的應(yīng)用安全風(fēng)險評估工具及解決方案,開發(fā)人員在安全風(fēng)險問題識別中往往是被動和滯后的。此外,開發(fā)人員對行業(yè)安全標準了解不深,容易導(dǎo)致軟件無法滿足安全合規(guī)性要求,造成應(yīng)用軟件無法按期開發(fā)完成,用戶滿意度大大降低。

針對上述問題,DASP能夠為軟件開發(fā)人員提供一站式安全加固和快速滿足安全合規(guī)的解決方案。首先,通過DASP提供的安全檢測能力,定位出軟件自身的安全問題。其次,借助安全SDK商店內(nèi)智能推薦的安全SDK能力,實現(xiàn)應(yīng)用軟件的一站式安全加固,助力ISV伙伴快速解決用戶擔(dān)憂的安全問題。

此外,根據(jù)等級保護2.0、數(shù)據(jù)安全等行業(yè)通用的安全標準要求,深信服將安全合規(guī)檢測、一鍵合規(guī)安全加固等能力融合到DASP的安全功能模塊當(dāng)中,幫助ISV伙伴快速滿足例如等級保護2.0中針對應(yīng)用軟件的安全技術(shù)要求,實現(xiàn)一站式合規(guī)安全。

近年來,用戶越來越重視安全建設(shè),安全需求不斷提升,ISV的軟件業(yè)務(wù)也面臨迭代升級。當(dāng)前不少ISV已預(yù)見到:用戶安全需求已經(jīng)逐漸成為自身業(yè)務(wù)創(chuàng)收的新盈利點,也成為影響產(chǎn)品競爭力的一大關(guān)鍵因素。由于安全能力專業(yè)度不足,ISV要通過這種方式實現(xiàn)業(yè)務(wù)創(chuàng)收,在安全功能自主開發(fā)上投入的成本注定不會少,市場收益遠遠不及投入。在用戶的安全需求以及自身創(chuàng)收需求的驅(qū)動下,通過“另辟蹊徑”來提升應(yīng)用軟件的安全能力成為必然。

基于此,深信服將自身沉淀了20多年的安全能力通過SDK結(jié)合的方式賦能給ISV伙伴,ISV可快速結(jié)合深信服專業(yè)的安全能力,面向用戶共同交付滿足用戶端安全需求的解決方案。與ISV自己開發(fā)的安全功能模式相比,結(jié)合深信服專業(yè)安全能力生成的安全功能模式不僅可以大幅降低ISV的研發(fā)投入成本,還能增加ISV的市場收益。

以殺毒功能開發(fā)為例,ISV需要在自身的軟件產(chǎn)品上增加殺毒功能,但由于不具備專業(yè)的安全開發(fā)能力,導(dǎo)致ISV在殺毒功能研發(fā)上需要投入的人員多、成本高而市場效益低。然而,如果ISV伙伴選擇使用深信服的殺毒引擎SDK,軟件開發(fā)人員僅需半天的工作量即可完成殺毒,解決在產(chǎn)品功能研發(fā)方面投入成本高的問題。在市場端,ISV伙伴還能將深信服專業(yè)的殺毒能力甚至其他的SDK安全能力作為自身獨立的功能進行銷售,增加市場效益,實現(xiàn)應(yīng)用安全開發(fā)與商務(wù)模式雙重創(chuàng)新。

【結(jié)語】

在愈演愈烈的外部威脅形勢下,應(yīng)用軟件安全問題頻發(fā),應(yīng)用軟件的安全性成為決定用戶口碑和產(chǎn)品競爭力的一項關(guān)鍵因素,甚至成為企業(yè)的生命線。在軟件應(yīng)用的開發(fā)測試階段,目前深信服已賦能包括政務(wù)應(yīng)用開發(fā)商、網(wǎng)盤應(yīng)用開發(fā)商在內(nèi)的50+家ISV伙伴各項專業(yè)的安全能力。未來,深信服將持續(xù)圍繞用戶需求的持續(xù)迭代和升級,將自身20多年沉淀的網(wǎng)絡(luò)安全與云計算能力服務(wù)化、原子能化,深度融合ISV業(yè)務(wù)場景與新技術(shù),助力更多ISV伙伴在開發(fā)、交付、運營階段實現(xiàn)業(yè)務(wù)創(chuàng)新升級!