安全，從寫第一行代碼開始

伴隨5G時代的腳步漸進(jìn)，物聯(lián)網(wǎng)發(fā)展也將成井噴式增長，“網(wǎng)絡(luò)安全”這個老生常談的話題似乎進(jìn)入了新階段。數(shù)據(jù)是天使？還是魔鬼？歸根結(jié)底，沒有安全保障的物聯(lián)網(wǎng)終將不可持續(xù)發(fā)展。

近日，2019第二屆世界物聯(lián)網(wǎng)安全峰會在京召開，新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁出席大會并發(fā)表演講。 期間，CSDN記者特別采訪了楊國梁，共同聊了聊在物聯(lián)網(wǎng)發(fā)展的背景下，怎樣從全生命周期角度構(gòu)建整體安全體系以及如何在軟件發(fā)布之前確保其安全等諸多問題。

根據(jù)研究機(jī)構(gòu)IDC報告，2020年物聯(lián)網(wǎng)市場規(guī)模將達(dá)到17,000億美元，設(shè)備將有200億臺?？焖侔l(fā)展的物聯(lián)網(wǎng)行業(yè)，同時也產(chǎn)生了很多新問題，其中物聯(lián)網(wǎng)信息安全成為關(guān)鍵。例如最近爆出的幾則新聞，谷歌旗下智能家居公司Nest攝像頭遭黑客攻擊、智能手表可成為黑客攻擊的目標(biāo)、藍(lán)牙設(shè)備也可能被入侵等。

過去以往，用戶是用防火墻、入侵檢測等安全措施，本質(zhì)是采用安全軟件來確保用戶安全，主要通過對用戶邊界防護(hù)來實(shí)現(xiàn)；但在物聯(lián)網(wǎng)時代，軟硬件360°的圍繞在用戶身邊，個人財產(chǎn)風(fēng)險、甚至生命風(fēng)險，都可能取決于物聯(lián)網(wǎng)設(shè)備。這個時候，當(dāng)出現(xiàn)問題之后再去做出補(bǔ)救，可能為時已晚。

“設(shè)計缺陷、安全漏洞和弱密碼等是造成物聯(lián)網(wǎng)威脅的主要因素?！睏顕罕硎?，針對目前企業(yè)在軟件產(chǎn)品研發(fā)過程中可能存在的重功能、輕安全的現(xiàn)象，新思科技的做法是把安全防護(hù)前置，融入到軟件開發(fā)過程中，幫企業(yè)開發(fā)出安全的軟件。這樣企業(yè)不再依賴于邊界防護(hù)的方法，因?yàn)橄到y(tǒng)本身就是一個足夠健壯的系統(tǒng)。

為了解決物聯(lián)網(wǎng)的安全問題，新思科技提供了一整套的貫穿物聯(lián)網(wǎng)生命周期的安全工具，從需求設(shè)計到研發(fā)測試、交付運(yùn)維等全面保障物聯(lián)網(wǎng)安全，這包括Polaris、Seeker、Coverity、Black Duck等一整套解決方案。

在采訪的過程中，楊國梁特別介紹了Coverity產(chǎn)品。據(jù)了解Coverity是一款靜態(tài)代碼分析工具，是新思科技軟件質(zhì)量與安全部門的主打產(chǎn)品之一，該工具主要是為企業(yè)的軟件開發(fā)提供在整個SDLC（軟件開發(fā)生命周期）過程中檢測和修復(fù)缺陷所需要的東西。它能夠完全的滿足企業(yè)應(yīng)用安全開發(fā)團(tuán)隊日益增長的三大需求：可擴(kuò)展性、多種編程語言和框架支持，以及全面的漏洞分析。

他講到，網(wǎng)絡(luò)安全是一個快速變化的動態(tài)市場，客戶需求日新月異，為了幫助用戶更有效地應(yīng)對挑戰(zhàn)，Coverity每年都會進(jìn)行兩次重大升級，以及一些小修小補(bǔ)升級。

把安全威脅從開始就排除

如今開源被認(rèn)為是全球最偉大的共享經(jīng)濟(jì)，軟件作者將源代碼開放，全球碼農(nóng)們可以自行使用、復(fù)制、散布、研究和改進(jìn)。正因?yàn)樵陂_源的世界里“無邊界”、“無國界”，開源代碼必然一樣存在安全隱患。

新思科技近日發(fā)布了《2019年開源安全和風(fēng)險分析》（OSSRA）報告。2019年OSSRA報告中最值得注意的開源風(fēng)險趨勢包括：

開源采用率大幅提升。2018年審計的代碼庫中96%包含開源組件，每個代碼庫中平均有298個開源組件，2017年則為257個。

開源許可證沖突可能會使知識產(chǎn)權(quán)面臨風(fēng)險。68%的代碼庫包含某種形式的開源許可證沖突，38%的代碼庫包含沒有可識別許可證的開源組件。

“廢棄”組件的使用很常見。85%的代碼庫包含過去四年以上老式的組件或者過去兩年沒有開發(fā)的組件。如果一個組件處于非活躍狀態(tài)或者無人維護(hù)，也就意味著沒有人正在處理其潛在的漏洞。

許多組織未能修補(bǔ)或更新其開源組件。2018年黑鴨審計中確定的漏洞的平均年齡是6.6年，略高于2017年 。這表明補(bǔ)救措施沒有顯著改善。2018年掃描的代碼庫中有43%包含超過十年以上的漏洞。國家漏洞數(shù)據(jù)庫(National Vulnerability Database)顯示2018年增加了16,500個新漏洞，其明確的修補(bǔ)流程需要擴(kuò)展以適應(yīng)增加的披露的漏洞。

并非所有的漏洞都相同，但許多企業(yè)甚至沒有解決那些風(fēng)險高的漏洞。超過40%的代碼庫包含至少一個高風(fēng)險開源漏洞。

報告顯示開源軟件的使用本身并不是問題，實(shí)際上這對軟件創(chuàng)新至關(guān)重要。但是未能積極主動地鑒別和管理任何與開源組件使用有關(guān)的安全和許可證風(fēng)險，可能極具破壞性。雖然風(fēng)險因素仍然存在，2019年OSSRA報告數(shù)據(jù)表明，在Equifax數(shù)據(jù)泄露之后，開源風(fēng)險意識的提高和商業(yè)軟件組件分析解決方案的成熟度已經(jīng)取得了進(jìn)展：

企業(yè)在管理開源安全漏洞方面正漸入佳境。2018年審計的代碼庫中有60%包含至少一個漏洞，相比2017年的78%已經(jīng)改善不少。

總體而言，開源許可證合規(guī)性也得到了改善。2018年審計的代碼庫中有68%包含有許可證沖突的組件，2017年則為74%。

楊國梁介紹說，目前新思科技的Black Duck軟件組成分析解決方案，已經(jīng)能很好地解決開源軟件這些問題。通過識別、保護(hù)、管理和監(jiān)測這四個階段，就能夠準(zhǔn)確的查找到所有在用的開源組件，確認(rèn)其中有無不當(dāng)?shù)拈_源許可，再通過安全策略有效保障開源軟件的安全性。

新思科技不僅在對開源軟件的檢測中能夠有效的幫助到開發(fā)者，同時針對開發(fā)流程也是開發(fā)者的得力助手。不同于傳統(tǒng)的代碼檢測公司，他們都是在產(chǎn)品研發(fā)完成之后再進(jìn)行代碼的檢測和修復(fù)，修復(fù)之后，還要再重新進(jìn)行驗(yàn)證流程，檢測周期非常長。發(fā)現(xiàn)漏洞或問題，就要從頭查起，找到問題所在。

例如，新思科技通過Polaris軟件完整性平臺幫助安全和開發(fā)團(tuán)隊更快地構(gòu)建安全、優(yōu)質(zhì)的軟件。基于Polaris軟件完整性平臺，企業(yè)開發(fā)團(tuán)隊可以在開發(fā)早期檢測和修復(fù)漏洞，并且在整個軟件開發(fā)生命周期（SDLC）中集成和自動化全面的安全分析，在整個應(yīng)用程序組合中全面管理應(yīng)用程序安全風(fēng)險。

“通過開發(fā)者在編寫代碼的同時，就對代碼的安全性以及功能的交互性進(jìn)行檢測，開發(fā)人員可以在任何時間、任意代碼模塊開發(fā)結(jié)束之后來進(jìn)行檢查，一旦發(fā)現(xiàn)有嚴(yán)重安全問題就可以及時修正，時效性大大提升?！睏顕褐v到，Polaris軟件完整性平臺的四大優(yōu)勢：早期風(fēng)險發(fā)現(xiàn)和遷移；從檢測到預(yù)防向左推移；簡單和靈活地運(yùn)營；綜合風(fēng)險報告能夠有效的幫助到開發(fā)者，讓其在不影響開發(fā)進(jìn)程的情況下，設(shè)計出一個安全高效的軟件系統(tǒng)。

隨著5G技術(shù)的加持，物聯(lián)網(wǎng)將不可避免地進(jìn)入一個野蠻生長時期，企業(yè)在當(dāng)前的物聯(lián)網(wǎng)基礎(chǔ)階段，必須保證所寫下的每一行代碼都是安全的。

新思科技讓“魚和熊掌”都可兼得

正如前面所提到的，軟件企業(yè)往往為了性能而忽視了安全，要不就是為了安全就降低了性能。物聯(lián)網(wǎng)快速發(fā)展下，企業(yè)更應(yīng)該將安全作為軟件開發(fā)的前提，不斷的提升軟件性能和服務(wù)。

“新思科技所定義的軟件完整性包括軟件質(zhì)量和軟件安全兩部分，只有這兩個都做到了，軟件才是真正意義上的完整?！睏顕罕硎?，如果要研發(fā)出高質(zhì)量、安全可靠的軟件，企業(yè)就要把安全深度融入到整個軟件開發(fā)生命周期（SDLC）。通過將自動化安全監(jiān)測機(jī)制加入到需求、設(shè)計、研發(fā)、測試、發(fā)布整個流程中，從而確保軟件的質(zhì)量。

他談到，新思科技構(gòu)建出完整、安全、高質(zhì)量的SDLC解決方案，把的測試技術(shù)、自動化分析以及專家結(jié)合到一起，創(chuàng)建出強(qiáng)大的產(chǎn)品和服務(wù)組合。該組合能夠讓企業(yè)開發(fā)出定制的程序，用在開發(fā)流程的早期發(fā)現(xiàn)并修復(fù)缺陷和漏洞，從而大限度降低風(fēng)險并提高生產(chǎn)力。

目前，高科技、物聯(lián)網(wǎng)、設(shè)備商、互聯(lián)網(wǎng)等行業(yè)市場的前沿客戶和第一梯隊的客戶接受程度非常高，對于軟件安全越來越重視，通過白盒測試、開源管控、黑盒測試、灰盒測試、甚至交互測試等強(qiáng)化軟件質(zhì)量和安全。特別是金融行業(yè)客戶已經(jīng)在主動實(shí)現(xiàn)SDLC（Security Development Lifecycle）了。業(yè)界基本都已經(jīng)達(dá)成共識，要從軟件開發(fā)源頭就開始注重安全防護(hù)能力。

技術(shù)的變幻莫測，讓企業(yè)的發(fā)展充滿了新的改變機(jī)遇；但不管怎么變化，“安全”則是永恒不變的。當(dāng)諸多產(chǎn)品和技術(shù)在周圍應(yīng)用時，我們需要做的就是時刻“重視”安全，主動打造堅實(shí)的安全機(jī)制，從第一行代碼打地基開始，構(gòu)筑一個安全可靠的軟件大樓。

新聞名稱：安全，從寫第一行代碼開始
分享路徑：http://www.bm7419.com/news19/100569.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、外貿(mào)網(wǎng)站建設(shè)、App開發(fā)、搜索引擎優(yōu)化、關(guān)鍵詞優(yōu)化、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)