（赵法彬/文）在软件开发与应用过程中，漏洞是对软件的最大威胁，软件风险等同于业务风险，因此，及时发现与弥补软件漏洞是根除威胁的不二选择，而这里面有诸多难点。近日，新思科技（Synopsys, Inc.，Nasdaq: SNPS）宣布推出软件风险管理平台（Software Risk Manager），这是一款功能强大的新型应用安全态势管理（ASPM）解决方案，可以帮助安全和开发团队简化、协调及优化其应用安全测试，而且可以跨项目、跨团队和应用安全测试 （AST）工具实现。

应用安全治理存在“三低两难”

新思科技推出这个平台的背景是什么呢？新思科技中国区应用安全技术总监付红勋回答说，在服务全球数千家客户的过程中，新思科技洞察到客户的应用安全在履行的过程中遇到了各种各样的困难或者问题，付红勋将其归纳为“三低两难”：

“三低”包括：一是投资回报率比较低，做应用安全非常难，招了不少的人、花了不少的钱、买了不少的工具（据统计有50%+的企业拥有多达11款AST工具），但在应用发布的时候还是没有底气，感觉投资回报率比较低；二是对软件风险把控的准确率比较低，我们做安全的人，最难回答的问题就是：这个产品要发布了，你觉得够安全吗？或者说能不能回答哪个地方最不安全?可见对安全风险的把控准确度通常比较低；三是AppSec在执行过程中的效率很低，因为它往往是在SDLC的不同阶段做了不同的测试，而且由不同的人去做，结果也是各式各样（有的是一个PDF报告、有的是Word或Excel等），这些结果在不同的团队间传来传去，效率非常低。

“两难”包括：一是对AppSec策略的统一有效管理比较难。我们正处在一个开源的时代，软件吞噬世界、开源吞噬软件（当然还有一句叫风险吞噬开源），那么在开源吞噬软件的时代，我们所面临的App不再是完全自研的，它其实是一个混源的项目，有自己写的、有开源的、还有第三方供应商的。面对这些不同的对象，我们的AppSec策略也可能略有差别，这些策略该如何统一高效地去管理它们？这是很难的。二是难以Focus到关键的安全工作上。因为有太多的测试工具给了我们太多的测试结果，里边有重复的、还有误报的。那么开发人员应该优先关注哪一款软件的、哪个组件的、哪个安全问题呢？这个问题很难回答，就导致开发人员的工作都浪费在了非战略、非关键、非重要的安全工作上。

面对“三低两难”的局面，企业需要整合供应商、整合工具；需要整合流程；需要整合洞察发现。因此，新思科技作为业界领先的应用安全领域供应商，立足“三低两难”的现状，自然要急客户所急、想客户所想，于是就推出了“应用安全态势管理（ASPM）”这样一个平台。ASPM就是让一个企业看到自己急难险重的安全风险在哪里，也就是把头等安全工作显示出来，同时，还要知道如何高效、智能、自动地处置这些风险，这样就可以摆脱掉“三低两难”困境。

新思科技SRM拥有四大功能

付红勋介绍说，新思科技的SRM（Software Risk Manager，软件风险管理平台），实质就是一款功能强大的新型应用安全态势管理（ASPM）解决方案，它具备四大核心功能：策略、编排、关联、内嵌。

一是策略。客户可以通过API接口把既定的业务策略、安全策略（PaC，Policy as Code，策略即代码）写进来。

二是编排，也就是对一系列手工测试或AST测试工具的编排。编排就是要在合适的时间（比如SDLC的某一个环节），对合适的对象（比如自有代码、OSS、第三方供应商提供的代码等），在合适的时间，开展合适的测试（比如 Fuzzing、静态扫描等），做到合适的深度。新思SRM在编排上有两大特点：手工测试和自动化测试都可以；自动化里边的、新思自己工具的当然可以，第三方的工具也可以，开源的也可以。

三是关联。编排把ASPM所需要的信号抓到了（所有工具在合适时间的报告就是安全信号），得到这些信号要做漏洞的关联分析。关联分析可以去掉重复的数据，甚至误报也得到一定程度的降低，然后根据所发现的问题、软件本身的价值（比如它是个核心组件，或者是一个边缘组件）、所定义的 SLA (Service-Level Agreement)对它做优先级排序，目的就是为了实现ASPM的风险可视化，把最值得关注的安全问题列出来，然后再把这些问题和缺陷跟踪系统双向打通，最后就可以去闭环跟踪解决了。

四是内嵌，这也是新思SRM一个非常重要的特色。编排的抓手是 AST测试工具（当然也包括手工测试），并且AST测试工具非常多，因此，谁能支持的第三方工具最多，谁的ASPM平台才更有价值。新思目前支持了超过135种商业或开源的AST工具，是业界对AST工具支持最多的ASPM厂商。同时，我们把新思科技业界领先的Coverity（SAST）和Black Duck（SCA）两款工具天然集成到了SRM平台，这个内嵌的价值非常高，它使得客户可以一站式地享受到业界最为领先的SAST和SCA的扫描引擎。

总之，策略、编排、关联、内嵌四大新思科技SRM核心功能，支撑了ASPM方案的全部核心诉求。

“三化两快”的新思科技SRM

针对新思科技软件风险管理平台SRM的关键优势，付红勋总结为“三化两快”。

“三化”主要包括：一是管理简化。因为可以把 DevOps、CI/CD工具、AST工具、缺陷跟踪工具等，都统一到SRM平台，这使得管理变得非常简单，避免了不同工具、不同配置的繁琐，结果得到了标准化和统一，大幅降低了跨工具、跨团队共享交流的成本。二是风险可视化。比如直接把违规的项目map到代码上，推送给我们的开发人员。三的工作标准化。第一步去定义策略，通过API接口把策略写入SRM平台；第二步由SRM根据既定的策略，在合适的时间针对合适的对象发起合适的测试，且测试到合适的深度；第三步就是对结果的关联分析、去重、排序等。

“两快”是指：一是快速确定风险的优先级。SRM可以很快地告诉客户整个企业里最值得关注的安全风险点在哪里，也就是确定风险优先级。SRM平台有很多工具采集到数据，并将其标准化，做了排序之后，就会输出一些图表和曲线，这样管理人员就可以很清楚应该在哪里投入更多的力量，而不是所有力量均匀分配。另外，可视化的重点是对安全态势的可视化，不能只是简单的安全问题可视化。二是快速地同步业界领先的AppSec测试能力。因为新思科技SRM已经把 SAST的Coverity和SCA的Black Duck集成到了平台里面，它们是目前自研代码安全以及供应链安全里最核心的两个工具，一个是基于源码的，一个是扫开源漏洞以及开源license合规的，也就是说新思科技SRM内嵌了业界最好的两款工具去扫描安全风险。

总之，面对AppSec计划实施中所面临的三个“低”两个“难”，新思推出了ASPM解决方案 —— SRM平台，实现了三个“化”和两个“快”。