作者:賈天榮 來源:IT時報
隨着5G智能終端飛速普及,移動終端越來越多地進入我們的工作和生活。手機所承載的數據量也越來越快,越來越多。在智慧生態構築的過程中,安全和隱私始終是一個繞不开的話題。
近日,在上海舉行的“2023新思科技开發者大會”上,OPPO終端安全領域總經理王安宇透露,OPPO和益普索做的行業調查顯示,消費者對於隱私保護和安全的訴求特別高,只有2%的消費者用戶聲稱不怎么關注安全隱私,剩下98%的用戶都更關注隱私和安全。
“我們能夠看到,國內和海外的 APP的生態過程中,確實是有一些APP是有一定程度的讀取消費者的隱私和數據。”王安宇表示,移動互聯網時代,數據安全的風險和挑战越來越大,也越來越復雜,他將數智時代的“智”總結爲四種:從鍵盤交互到語音交互的“交互智能”,到涉及智能設備的“隨身智能”,以及“泛在智能”和“化身智能”,“在不同的場景裏面,隱私保護和安全的要求是不一樣的。”
爲此,長期以來OPPO在整個安全體系和流程建設上,和國際權威的廠商展开合作,共同構築整個移動智能終端的安全體系和流程建設。“我們提出了‘可信’概念,並構建了4層數字化的可信框架。從基礎層到能力層,到業務、APP、數據、整機、芯片,然後在最上層目標是隱私、合規、透明,希望構築一種‘數字化的可信’。”
王安宇談到,從軟件的需求、到設計、實施、測試、發布的各個環節,OPPO都會引入業界的最佳實踐、工具和能力,構築OPPO的研發安全生命周期的流程和能力。“總體目標,就是把所有的ICT行業,所有的企業,所做的安全和隱私的事,總結一句話,就是信息流的安全性防護和用戶隱私。”
新思科技中國區應用安全技術總監付紅勳也表示,在如今大模型火熱的背景下,AIGC也帶來一些新的機會和挑战。他提到,除了开源帶來的風險,AI會對安全的檢測工具提出新的挑战。“由AI生成的代碼,常見的、基礎性的風險可能不會再那么多了,但在發現更深層次的代碼安全問題上,更要做好能力的積累以及工具化。”
付紅勳認爲,AIGC時代,數據安全與隱私保護將繼續成爲熱點和趨勢,這對新思科技來說也意味着新的機會,“新思科技更擅長於做的是檢測深層次的代碼裏的安全隱患或特殊的質量隱患。我們不是做簡單的代碼嗅探,另外,我們有一些能夠幫助客戶發現業務邏輯漏洞的工具和服務,比如我們的DAST(動態應用安全測試)服務和Seeker。這些產品我認爲會是今後AIGC生成代碼的時代,普通的工具很難觸及到的。”
另一個機會在於,开源代碼片段會不斷地加到AIGC生成的代碼裏。“大模型的訓練輸入,會變成一點一點的片段,可能沒有完整的引用某一大段代碼,但可能會運用某個組件的某幾行,這些片段的檢測將會變得非常麻煩。這也正好是新思科技Black Duck非常著名的一個特性,就是代碼片段掃描。”
作爲OPPO終端可信工程的行業夥伴,新思科技已經連續三年榮膺OPPO合作夥伴類大獎,新思科技爲OPPO提供了應用安全管理產品和服務,包括軟件安全構建成熟度模型(BSIMM)評估等,助力OPPO落實數字化可信工程。
據新思科技調研顯示,業界在當前應用安全(AppSec計劃)領域還存在“三低”和“兩難”在內的諸多挑战:“三低”是投資回報率比較低,對風險把控准確率低,安全活動速度低。
“兩難”則是安全策略難以統一做管理,以及難以聚焦到應用裏最關鍵的安全風險。爲了應對“三低”“兩難”,新思科技推出了自己的 ASPM的解決方案,即SRM(軟件風險管理平台)。
付紅勳介紹,有了 SRM平台,就可以實現AppSec計劃的“三化”和“兩快”:通過管理簡化、風險狀態可視化、工作流程標准化,來快速確定風險優先級、快速同步業界最佳AST能力。
另一方面,新思科技軟件質量與安全部門與NowSecure落實战略合作,推出自動化連續移動應用安全測試(MAST)解決方案,旨在補充新思科技行業領先的托管MAST服務,通過對Android和iOS二進制文件進行快速、自動化和語言化的靜態、動態、交互式和API安全測試,提供廣泛的測試覆蓋率。此外,移動應用安全測試允許开發和安全團隊分析移動應用的組件,包括开源組件、第三方軟件开發工具包(SDK)以及可傳遞依賴項,並可將基於標准的自動化安全測試集成到連續集成和連續交付/連續部署(CI/CD)管道。
本文作者可以追加內容哦 !
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:AIGC將帶來新的安全挑战,數智時代如何構築數據安全防线?
地址:https://www.breakthing.com/post/99203.html