過去一年，從 Facebook 數據泄露事件、幣圈頻發的網絡攻擊，到知名酒店集團的信息泄露，讓越來越多的企業意識到他們在防范潛在威脅和新型攻擊媒介方面的投資還遠遠不夠。他們也愈加關注安全 方面的趨勢，防患于未然，以保護投資回報。

近年來，云計算、人工智能(AI)、機器學習(ML)、物聯網(IoT)和大數據在很大程度上推動了企業運營方式的演變。值得一得的是，所有這些技術都是由軟件驅動的。有鑒于此，防止和減少軟件漏洞以維持企業健康發展至關重要。

為了更好地推動軟件安全的發展，讓我們來參考一下新思科技軟件質量與安全部門 (Synopsys SoftwareIntegrity Group) 的預測。這些預測將有助于企業保持警惕，最大限度地減少軟件安全風險。

設計和標準的安全性

大部分軟件仍然主要是在沒有正式標準和流程的情況下編寫的。與構建橋梁不同，軟件開發并不是標準化、可重復的工作。開源持續了很長時間，現在已經司空見慣。可以想象，更多的信任將放在基于開源軟件的通用構建模塊中。此外，垂直領域軟件開發標準將更快出現。

當生命依賴于正確的軟件執行時，我們會將更多的努力放在標準、可審計性和問責制上，這一點在汽車和飛機內的安全關鍵系統上已經得到充分證實。這些標準可能是自下而上的，也可能是由政府監管的。金融服務、區塊鏈以及移動解決方案安全性等領域也有機會執行這樣的標準。

2019 年，我們可能看到垂直市場組成聯盟，以建立更多面向特定領域的安全標準，并改善信任和互換性。其中大部分可以基于開源組件構建。

繼續向云遷移

隨著經濟的增長，各大企業也面臨著新的競爭壓力。這迫使企業需要重新武裝自己。數字化如火如荼，新的云環境也正在改變企業部署 APP 的方式。因此，企業需要在 APP 應用和軟件安全方面保持警惕。

我們預計將會有更多投資會放在云端安全上。此外，給員工普及應用安全和軟件安全的概念以及這方面的培訓需求也會越來越多。

AI和ML滲入到我們生活

很多人會意識到 AI 和 ML 已經在他們周圍出現，對生活、家庭、健康及工作的決策等都有影響。

那 AI/ML 能為軟件安全和網絡安全做什么呢?這讓人期待。網絡安全很重要的一部分是數據關聯和分析。這就需要具備基于多個不同的數據源(猶如海底撈針)來查找單個威脅和威脅活動以及執行威脅行動者歸因的能力。

AI/ML 可以通過數據建模和模式識別來提高以上過程的速度、規模和準確性。然而，很多刊出的文章都對此表示懷疑和擔憂。有的時候，企業可能會有一種安全的假象，但是事實并非如此。我們還需要更多時間和投入完善數據模型和模式識別，以確保 AI/ML 技術能夠有效提升軟件安全。

我們應該期待看到大公司繼續投資 AI/ML 技術。與此同時，宣傳 AI/ML 能力的初創企業也將在 2019 年繼續崛起。但是，可能還需要幾年時間才能完全實現 AI/ML 的真正愿景。

IoT 攻擊仍然是一個困擾

在亞太地區，許多國家正在推進智慧城市和智能國家計劃。這也為新一輪的 IoT 網絡攻擊提供了機會。不法分子可以利用數據中毒進行攻擊，其中的錯誤信息將通過部署在目標城市或全國范圍內的傳感器影響決策。

我們還將看到一些舊問題仍然存在：硬編碼憑證和未修補的組件，沒有良好設計的空中下載技術 (OTA) 更新以及持續更新策略。

針對醫療和零售業的攻擊將增多

原因是這些行業正在收集的數據的價值正在增加。我們必須進行投資以保護醫療、零售及其他行業的數據。需要再次強調的是：安全培訓必不可少。

對開發人員使用第三方應用程序編程接口 (API) 的敏感性提高

它是絕大多數 IT 企業的盲點，類似于十年前的開源使用。大多數公司都了解確保他們發布的 API 免受外部攻擊的重要性，但很少有公司會通過從內到外調用第三方 API 來跟蹤他們自己的代碼在 Web 服務的使用。

依賴第三方服務的方式還存在其它法律和業務風險。公司還必須考慮到他們可能無意中傳遞到防火墻外的未知和不受信任來源的機密數據。

從數據到決策

現在有許多質量和安全解決方案，每個都有自己的目的、優勢和產生的數據。可能是滲透測試、日志監控和入侵檢測，或自動化軟件安全測試解決方案。雖然功能和技術不斷發展，但它們也會創造出更多的信息和數據點。

我們很容易淹沒在信息海洋中，而忽視了一些必需品。其實，關鍵是將這些數據融合在一起，以制定基于風險和業務的決策。一方面，我們面臨的挑戰在于「海底撈針」;另一方面，我們需要組合來自不同方法和域的數據，以了解整體狀態。

2019 年，我們需要的并不是更多數據，而是更好的決策支持。

總結

2019 年，軟件將繼續在我們的日常生活和工作中發揮越來越重要的作用。我們需要工具和支持將安全性貫穿到整個軟件開發周期、公司文化和業務流程的各個方面，從而確保公司更快地構建安全、高質量的軟件。