安全，從寫(xiě)第一行代碼開(kāi)始

伴隨5G時(shí)代的腳步漸進(jìn)，物聯(lián)網(wǎng)發(fā)展也將成井噴式增長(zhǎng)，“網(wǎng)絡(luò)安全”這個(gè)老生常談的話題似乎進(jìn)入了新階段。數(shù)據(jù)是天使？還是魔鬼？歸根結(jié)底，沒(méi)有安全保障的物聯(lián)網(wǎng)終將不可持續(xù)發(fā)展。

近日，2019第二屆世界物聯(lián)網(wǎng)安全峰會(huì)在京召開(kāi)，新思科技軟件質(zhì)量與安全部門(mén)高級(jí)安全架構(gòu)師楊國(guó)梁出席大會(huì)并發(fā)表演講。 期間，CSDN記者特別采訪了楊國(guó)梁，共同聊了聊在物聯(lián)網(wǎng)發(fā)展的背景下，怎樣從全生命周期角度構(gòu)建整體安全體系以及如何在軟件發(fā)布之前確保其安全等諸多問(wèn)題。

根據(jù)研究機(jī)構(gòu)IDC報(bào)告，2020年物聯(lián)網(wǎng)市場(chǎng)規(guī)模將達(dá)到17,000億美元，設(shè)備將有200億臺(tái)?？焖侔l(fā)展的物聯(lián)網(wǎng)行業(yè)，同時(shí)也產(chǎn)生了很多新問(wèn)題，其中物聯(lián)網(wǎng)信息安全成為關(guān)鍵。例如最近爆出的幾則新聞，谷歌旗下智能家居公司Nest攝像頭遭黑客攻擊、智能手表可成為黑客攻擊的目標(biāo)、藍(lán)牙設(shè)備也可能被入侵等。

過(guò)去以往，用戶是用防火墻、入侵檢測(cè)等安全措施，本質(zhì)是采用安全軟件來(lái)確保用戶安全，主要通過(guò)對(duì)用戶邊界防護(hù)來(lái)實(shí)現(xiàn)；但在物聯(lián)網(wǎng)時(shí)代，軟硬件360°的圍繞在用戶身邊，個(gè)人財(cái)產(chǎn)風(fēng)險(xiǎn)、甚至生命風(fēng)險(xiǎn)，都可能取決于物聯(lián)網(wǎng)設(shè)備。這個(gè)時(shí)候，當(dāng)出現(xiàn)問(wèn)題之后再去做出補(bǔ)救，可能為時(shí)已晚。

“設(shè)計(jì)缺陷、安全漏洞和弱密碼等是造成物聯(lián)網(wǎng)威脅的主要因素?！睏顕?guó)梁表示，針對(duì)目前企業(yè)在軟件產(chǎn)品研發(fā)過(guò)程中可能存在的重功能、輕安全的現(xiàn)象，新思科技的做法是把安全防護(hù)前置，融入到軟件開(kāi)發(fā)過(guò)程中，幫企業(yè)開(kāi)發(fā)出安全的軟件。這樣企業(yè)不再依賴(lài)于邊界防護(hù)的方法，因?yàn)橄到y(tǒng)本身就是一個(gè)足夠健壯的系統(tǒng)。

為了解決物聯(lián)網(wǎng)的安全問(wèn)題，新思科技提供了一整套的貫穿物聯(lián)網(wǎng)生命周期的安全工具，從需求設(shè)計(jì)到研發(fā)測(cè)試、交付運(yùn)維等全面保障物聯(lián)網(wǎng)安全，這包括Polaris、Seeker、Coverity、Black Duck等一整套解決方案。

在采訪的過(guò)程中，楊國(guó)梁特別介紹了Coverity產(chǎn)品。據(jù)了解Coverity是一款靜態(tài)代碼分析工具，是新思科技軟件質(zhì)量與安全部門(mén)的主打產(chǎn)品之一，該工具主要是為企業(yè)的軟件開(kāi)發(fā)提供在整個(gè)SDLC（軟件開(kāi)發(fā)生命周期）過(guò)程中檢測(cè)和修復(fù)缺陷所需要的東西。它能夠完全的滿足企業(yè)應(yīng)用安全開(kāi)發(fā)團(tuán)隊(duì)日益增長(zhǎng)的三大需求：可擴(kuò)展性、多種編程語(yǔ)言和框架支持，以及全面的漏洞分析。

他講到，網(wǎng)絡(luò)安全是一個(gè)快速變化的動(dòng)態(tài)市場(chǎng)，客戶需求日新月異，為了幫助用戶更有效地應(yīng)對(duì)挑戰(zhàn)，Coverity每年都會(huì)進(jìn)行兩次重大升級(jí)，以及一些小修小補(bǔ)升級(jí)。

把安全威脅從開(kāi)始就排除

如今開(kāi)源被認(rèn)為是全球最偉大的共享經(jīng)濟(jì)，軟件作者將源代碼開(kāi)放，全球碼農(nóng)們可以自行使用、復(fù)制、散布、研究和改進(jìn)。正因?yàn)樵陂_(kāi)源的世界里“無(wú)邊界”、“無(wú)國(guó)界”，開(kāi)源代碼必然一樣存在安全隱患。

新思科技近日發(fā)布了《2019年開(kāi)源安全和風(fēng)險(xiǎn)分析》（OSSRA）報(bào)告。2019年OSSRA報(bào)告中最值得注意的開(kāi)源風(fēng)險(xiǎn)趨勢(shì)包括：

開(kāi)源采用率大幅提升。2018年審計(jì)的代碼庫(kù)中96%包含開(kāi)源組件，每個(gè)代碼庫(kù)中平均有298個(gè)開(kāi)源組件，2017年則為257個(gè)。

開(kāi)源許可證沖突可能會(huì)使知識(shí)產(chǎn)權(quán)面臨風(fēng)險(xiǎn)。68%的代碼庫(kù)包含某種形式的開(kāi)源許可證沖突，38%的代碼庫(kù)包含沒(méi)有可識(shí)別許可證的開(kāi)源組件。

“廢棄”組件的使用很常見(jiàn)。85%的代碼庫(kù)包含過(guò)去四年以上老式的組件或者過(guò)去兩年沒(méi)有開(kāi)發(fā)的組件。如果一個(gè)組件處于非活躍狀態(tài)或者無(wú)人維護(hù)，也就意味著沒(méi)有人正在處理其潛在的漏洞。

許多組織未能修補(bǔ)或更新其開(kāi)源組件。2018年黑鴨審計(jì)中確定的漏洞的平均年齡是6.6年，略高于2017年 。這表明補(bǔ)救措施沒(méi)有顯著改善。2018年掃描的代碼庫(kù)中有43%包含超過(guò)十年以上的漏洞。國(guó)家漏洞數(shù)據(jù)庫(kù)(National Vulnerability Database)顯示2018年增加了16,500個(gè)新漏洞，其明確的修補(bǔ)流程需要擴(kuò)展以適應(yīng)增加的披露的漏洞。

并非所有的漏洞都相同，但許多企業(yè)甚至沒(méi)有解決那些風(fēng)險(xiǎn)高的漏洞。超過(guò)40%的代碼庫(kù)包含至少一個(gè)高風(fēng)險(xiǎn)開(kāi)源漏洞。

報(bào)告顯示開(kāi)源軟件的使用本身并不是問(wèn)題，實(shí)際上這對(duì)軟件創(chuàng)新至關(guān)重要。但是未能積極主動(dòng)地鑒別和管理任何與開(kāi)源組件使用有關(guān)的安全和許可證風(fēng)險(xiǎn)，可能極具破壞性。雖然風(fēng)險(xiǎn)因素仍然存在，2019年OSSRA報(bào)告數(shù)據(jù)表明，在Equifax數(shù)據(jù)泄露之后，開(kāi)源風(fēng)險(xiǎn)意識(shí)的提高和商業(yè)軟件組件分析解決方案的成熟度已經(jīng)取得了進(jìn)展：

企業(yè)在管理開(kāi)源安全漏洞方面正漸入佳境。2018年審計(jì)的代碼庫(kù)中有60%包含至少一個(gè)漏洞，相比2017年的78%已經(jīng)改善不少。

總體而言，開(kāi)源許可證合規(guī)性也得到了改善。2018年審計(jì)的代碼庫(kù)中有68%包含有許可證沖突的組件，2017年則為74%。

楊國(guó)梁介紹說(shuō)，目前新思科技的Black Duck軟件組成分析解決方案，已經(jīng)能很好地解決開(kāi)源軟件這些問(wèn)題。通過(guò)識(shí)別、保護(hù)、管理和監(jiān)測(cè)這四個(gè)階段，就能夠準(zhǔn)確的查找到所有在用的開(kāi)源組件，確認(rèn)其中有無(wú)不當(dāng)?shù)拈_(kāi)源許可，再通過(guò)安全策略有效保障開(kāi)源軟件的安全性。

新思科技不僅在對(duì)開(kāi)源軟件的檢測(cè)中能夠有效的幫助到開(kāi)發(fā)者，同時(shí)針對(duì)開(kāi)發(fā)流程也是開(kāi)發(fā)者的得力助手。不同于傳統(tǒng)的代碼檢測(cè)公司，他們都是在產(chǎn)品研發(fā)完成之后再進(jìn)行代碼的檢測(cè)和修復(fù)，修復(fù)之后，還要再重新進(jìn)行驗(yàn)證流程，檢測(cè)周期非常長(zhǎng)。發(fā)現(xiàn)漏洞或問(wèn)題，就要從頭查起，找到問(wèn)題所在。

例如，新思科技通過(guò)Polaris軟件完整性平臺(tái)幫助安全和開(kāi)發(fā)團(tuán)隊(duì)更快地構(gòu)建安全、優(yōu)質(zhì)的軟件。基于Polaris軟件完整性平臺(tái)，企業(yè)開(kāi)發(fā)團(tuán)隊(duì)可以在開(kāi)發(fā)早期檢測(cè)和修復(fù)漏洞，并且在整個(gè)軟件開(kāi)發(fā)生命周期（SDLC）中集成和自動(dòng)化全面的安全分析，在整個(gè)應(yīng)用程序組合中全面管理應(yīng)用程序安全風(fēng)險(xiǎn)。

“通過(guò)開(kāi)發(fā)者在編寫(xiě)代碼的同時(shí)，就對(duì)代碼的安全性以及功能的交互性進(jìn)行檢測(cè)，開(kāi)發(fā)人員可以在任何時(shí)間、任意代碼模塊開(kāi)發(fā)結(jié)束之后來(lái)進(jìn)行檢查，一旦發(fā)現(xiàn)有嚴(yán)重安全問(wèn)題就可以及時(shí)修正，時(shí)效性大大提升?！睏顕?guó)梁講到，Polaris軟件完整性平臺(tái)的四大優(yōu)勢(shì)：早期風(fēng)險(xiǎn)發(fā)現(xiàn)和遷移；從檢測(cè)到預(yù)防向左推移；簡(jiǎn)單和靈活地運(yùn)營(yíng)；綜合風(fēng)險(xiǎn)報(bào)告能夠有效的幫助到開(kāi)發(fā)者，讓其在不影響開(kāi)發(fā)進(jìn)程的情況下，設(shè)計(jì)出一個(gè)安全高效的軟件系統(tǒng)。

隨著5G技術(shù)的加持，物聯(lián)網(wǎng)將不可避免地進(jìn)入一個(gè)野蠻生長(zhǎng)時(shí)期，企業(yè)在當(dāng)前的物聯(lián)網(wǎng)基礎(chǔ)階段，必須保證所寫(xiě)下的每一行代碼都是安全的。

新思科技讓“魚(yú)和熊掌”都可兼得

正如前面所提到的，軟件企業(yè)往往為了性能而忽視了安全，要不就是為了安全就降低了性能。物聯(lián)網(wǎng)快速發(fā)展下，企業(yè)更應(yīng)該將安全作為軟件開(kāi)發(fā)的前提，不斷的提升軟件性能和服務(wù)。

“新思科技所定義的軟件完整性包括軟件質(zhì)量和軟件安全兩部分，只有這兩個(gè)都做到了，軟件才是真正意義上的完整?！睏顕?guó)梁表示，如果要研發(fā)出高質(zhì)量、安全可靠的軟件，企業(yè)就要把安全深度融入到整個(gè)軟件開(kāi)發(fā)生命周期（SDLC）。通過(guò)將自動(dòng)化安全監(jiān)測(cè)機(jī)制加入到需求、設(shè)計(jì)、研發(fā)、測(cè)試、發(fā)布整個(gè)流程中，從而確保軟件的質(zhì)量。

他談到，新思科技構(gòu)建出完整、安全、高質(zhì)量的SDLC解決方案，把的測(cè)試技術(shù)、自動(dòng)化分析以及專(zhuān)家結(jié)合到一起，創(chuàng)建出強(qiáng)大的產(chǎn)品和服務(wù)組合。該組合能夠讓企業(yè)開(kāi)發(fā)出定制的程序，用在開(kāi)發(fā)流程的早期發(fā)現(xiàn)并修復(fù)缺陷和漏洞，從而大限度降低風(fēng)險(xiǎn)并提高生產(chǎn)力。

目前，高科技、物聯(lián)網(wǎng)、設(shè)備商、互聯(lián)網(wǎng)等行業(yè)市場(chǎng)的前沿客戶和第一梯隊(duì)的客戶接受程度非常高，對(duì)于軟件安全越來(lái)越重視，通過(guò)白盒測(cè)試、開(kāi)源管控、黑盒測(cè)試、灰盒測(cè)試、甚至交互測(cè)試等強(qiáng)化軟件質(zhì)量和安全。特別是金融行業(yè)客戶已經(jīng)在主動(dòng)實(shí)現(xiàn)SDLC（Security Development Lifecycle）了。業(yè)界基本都已經(jīng)達(dá)成共識(shí)，要從軟件開(kāi)發(fā)源頭就開(kāi)始注重安全防護(hù)能力。

技術(shù)的變幻莫測(cè)，讓企業(yè)的發(fā)展充滿了新的改變機(jī)遇；但不管怎么變化，“安全”則是永恒不變的。當(dāng)諸多產(chǎn)品和技術(shù)在周?chē)鷳?yīng)用時(shí)，我們需要做的就是時(shí)刻“重視”安全，主動(dòng)打造堅(jiān)實(shí)的安全機(jī)制，從第一行代碼打地基開(kāi)始，構(gòu)筑一個(gè)安全可靠的軟件大樓。

網(wǎng)站題目：安全，從寫(xiě)第一行代碼開(kāi)始
本文路徑：http://bm7419.com/news/100569.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號(hào)、服務(wù)器托管、ChatGPT、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、網(wǎng)站排名、手機(jī)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)