在软件开发过程中,软件质量管理、程序的正常运营以及应用程序的安全性等都需要专门的检测。在部分企业,这些工作由软件测试工程师来完成。不过目前在中国软件测试工程师的人才缺口仍然比较大。根据美国新思科技公司最新的一份调查,软件的质量与安全是开发人员最关注的两个指标。此外,缺乏熟练的专业人才和培训是全面实施软件安全计划(SSI)的最大挑战。
近日,在TiD2018质量竞争力大会上,新思科技软件质量与安全部门进行了一项问卷调查,受访对象是来自电信、金融、保险、汽车和科技等多个领域的软件专业人士。TiD2018于七月中举行,是软件行业的领先峰会。
该份调查指出30%的企业依靠开发团队检测软件安全漏洞。为了满足市场需求,软件开发商需要更快地将产品推出市场才能保持竞争力。这意味着开发团队要在缩短软件研发时间的同时也要确保安全性。要实现这一点有很大的挑战。
本次共收集了293份有效问卷,主要发现如下:
-
在软件安全方面,目前最迫切需要解决的问题:提升软件质量(44%);软件安全性(28%);创新功能(11%);按时交付产品(10%);合规性(6%);其它(1%)。
-
实施SSI的最大挑战:缺乏熟练的专业人才或培训(67%);预算限制(22%);不需要SSI(7%) 。
-
如何开展应用安全计划:拥有负责应用安全的内部团队或专门的安全计划(62%);第三方供应商负责评估应用安全和执行安全计划(11%);综合以上两项(14%);没有正式的应用安全计划(13%)。
-
谁负责测试软件的安全漏洞:开发团队(30%); IT安全团队(27%);质量保证团队(25%);产品安全团队(14%);多团队合作(4%)。
-
哪种类型的漏洞带来最严重的安全风险:企业自己开发的专有代码中的应用程序漏洞(40%);企业委托的第三方供应商所开发的专有代码中的应用程序漏洞(30%);企业开发或使用的开源软件组件中存在的漏洞(30%)。
新思科技软件质量与安全部门高级安全架构师杨国梁表示:“这份调查结果贴切地反映了现在软件开发团队面临的两难困境,一方面需要尽快开发出来新的软件解决方案;另一方面也要确保产品的安全性和稳健性。这两项任务都需要时间和资源配合。一旦遇到人员流动的时候,开发团队更雪上加霜。因此,它们需要像新思科技这样的企业提供专业的软件质量与安全服务。”
杨国梁介绍道:“新思科技软件质量与安全部门提供全方位的管理和专业服务、产品和培训。我们可以根据客户的具体需求定制软件安全计划。我们致力于在整个软件开发周期中提供支持,助力企业更加迅速地构建安全、高质量的软件。”
新思科技软件质量与安全部门的调查问卷还发现了企业目前正在寻求哪些软件应用测试解决方案:静态分析/静态应用安全测试(49%);架构风险分析/威胁建模(47%);动态分析/动态应用安全测试(38%);交互式应用安全测试(30%);第三方渗透测试(24%);软件组成分析(21%);模糊测试(14%)。