如果要開發軟件，就必須擁有軟件安全計劃 （SSI）。實施SSI 可以盡可能地防止安全缺陷進入到生產階段，但是，如何有效地開展SSI仍是很多軟件企業的痛點。

美國新思科技公司 （Synopsys， Nasdaq： SNPS）近日在中國進行了一項調查，其結果顯示軟件的質量與安全是開發人員最關注的兩個指標。此外，缺乏熟練的專業人才和培訓是全面實施軟件安全計劃（SSI）的最大挑戰。

調查指出30%的企業依靠開發團隊檢測軟件安全漏洞。為了滿足市場需求，軟件開發商需要更快地將產品推出市場才能保持競爭力。這意味著開發團隊要在縮短軟件研發時間的同時也要確保安全性。要實現這一點有很大的挑戰。

在TiD2018質量競爭力大會上，新思科技軟件質量與安全部門進行了一項問卷調查，受訪對象是來自電信、金融、保險、汽車和科技等多個領域的軟件專業人士。TiD2018于七月中舉行，是軟件行業的領先峰會。

本次共收集了293份有效問卷，主要發現如下：

在軟件安全方面，目前最迫切需要解決的問題：提升軟件質量（44％）；軟件安全性（28％）；創新功能（11％）；按時交付產品（10％）；合規性（6％）;其它（1％）。

實施SSI的最大挑戰：缺乏熟練的專業人才或培訓（67%）；預算限制（22%）；不需要SSI（7%） 。

如何開展應用安全計劃：擁有負責應用安全的內部團隊或專門的安全計劃（62％）；第三方供應商負責評估應用安全和執行安全計劃（11％）；綜合以上兩項（14％）；沒有正式的應用安全計劃（13％）。

誰負責測試軟件的安全漏洞：開發團隊（30％）； IT安全團隊（27％）；質量保證團隊（25％）；產品安全團隊（14％）；多團隊合作（4％）。

哪種類型的漏洞帶來最嚴重的安全風險：企業自己開發的專有代碼中的應用程序漏洞（40％）；企業委托的第三方供應商所開發的專有代碼中的應用程序漏洞（30％）；企業開發或使用的開源軟件組件中存在的漏洞（30％）。

新思科技軟件質量與安全部門高級安全架構師楊國梁表示：“這份調查結果貼切地反映了現在軟件開發團隊面臨的兩難困境，一方面需要盡快開發出來新的軟件解決方案；另一方面也要確保產品的安全性和穩健性。這兩項任務都需要時間和資源配合。一旦遇到人員流動的時候，開發團隊更雪上加霜。因此，它們需要像新思科技這樣的企業提供專業的軟件質量與安全服務。”

楊國梁介紹道：“新思科技軟件質量與安全部門提供全方位的管理和專業服務、產品和培訓。我們可以根據客戶的具體需求定制軟件安全計劃。我們致力于在整個軟件開發周期中提供支持，助力企業更加迅速地構建安全、高質量的軟件。”

新思科技軟件質量與安全部門的調查問卷還發現了企業目前正在尋求哪些軟件應用測試解決方案：靜態分析/靜態應用安全測試（49％）；架構風險分析/威脅建模（47％）；動態分析/動態應用安全測試（38％）；交互式應用安全測試（30％）；第三方滲透測試（24％）；軟件組成分析（21％）；模糊測試（14％）。