安全,從寫第一行代碼開始

2021-02-12    分類: 網(wǎng)站建設(shè)

伴隨5G時代的腳步漸進,物聯(lián)網(wǎng)發(fā)展也將成井噴式增長,“網(wǎng)絡(luò)安全”這個老生常談的話題似乎進入了新階段。數(shù)據(jù)是天使?還是魔鬼?歸根結(jié)底,沒有安全保障的物聯(lián)網(wǎng)終將不可持續(xù)發(fā)展。

近日,2019第二屆世界物聯(lián)網(wǎng)安全峰會在京召開,新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁出席大會并發(fā)表演講。 期間,CSDN記者特別采訪了楊國梁,共同聊了聊在物聯(lián)網(wǎng)發(fā)展的背景下,怎樣從全生命周期角度構(gòu)建整體安全體系以及如何在軟件發(fā)布之前確保其安全等諸多問題。

根據(jù)研究機構(gòu)IDC報告,2020年物聯(lián)網(wǎng)市場規(guī)模將達到17,000億美元,設(shè)備將有200億臺。快速發(fā)展的物聯(lián)網(wǎng)行業(yè),同時也產(chǎn)生了很多新問題,其中物聯(lián)網(wǎng)信息安全成為關(guān)鍵。例如最近爆出的幾則新聞,谷歌旗下智能家居公司Nest攝像頭遭黑客攻擊、智能手表可成為黑客攻擊的目標、藍牙設(shè)備也可能被入侵等。

過去以往,用戶是用防火墻、入侵檢測等安全措施,本質(zhì)是采用安全軟件來確保用戶安全,主要通過對用戶邊界防護來實現(xiàn);但在物聯(lián)網(wǎng)時代,軟硬件360°的圍繞在用戶身邊,個人財產(chǎn)風險、甚至生命風險,都可能取決于物聯(lián)網(wǎng)設(shè)備。這個時候,當出現(xiàn)問題之后再去做出補救,可能為時已晚。

“設(shè)計缺陷、安全漏洞和弱密碼等是造成物聯(lián)網(wǎng)威脅的主要因素?!睏顕罕硎?,針對目前企業(yè)在軟件產(chǎn)品研發(fā)過程中可能存在的重功能、輕安全的現(xiàn)象,新思科技的做法是把安全防護前置,融入到軟件開發(fā)過程中,幫企業(yè)開發(fā)出安全的軟件。這樣企業(yè)不再依賴于邊界防護的方法,因為系統(tǒng)本身就是一個足夠健壯的系統(tǒng)。

為了解決物聯(lián)網(wǎng)的安全問題,新思科技提供了一整套的貫穿物聯(lián)網(wǎng)生命周期的安全工具,從需求設(shè)計到研發(fā)測試、交付運維等全面保障物聯(lián)網(wǎng)安全,這包括Polaris、Seeker、Coverity、Black Duck等一整套解決方案。

在采訪的過程中,楊國梁特別介紹了Coverity產(chǎn)品。據(jù)了解Coverity是一款靜態(tài)代碼分析工具,是新思科技軟件質(zhì)量與安全部門的主打產(chǎn)品之一,該工具主要是為企業(yè)的軟件開發(fā)提供在整個SDLC(軟件開發(fā)生命周期)過程中檢測和修復(fù)缺陷所需要的東西。它能夠完全的滿足企業(yè)應(yīng)用安全開發(fā)團隊日益增長的三大需求:可擴展性、多種編程語言和框架支持,以及全面的漏洞分析。

他講到,網(wǎng)絡(luò)安全是一個快速變化的動態(tài)市場,客戶需求日新月異,為了幫助用戶更有效地應(yīng)對挑戰(zhàn),Coverity每年都會進行兩次重大升級,以及一些小修小補升級。

把安全威脅從開始就排除

如今開源被認為是全球最偉大的共享經(jīng)濟,軟件作者將源代碼開放,全球碼農(nóng)們可以自行使用、復(fù)制、散布、研究和改進。正因為在開源的世界里“無邊界”、“無國界”,開源代碼必然一樣存在安全隱患。

新思科技近日發(fā)布了《2019年開源安全和風險分析》(OSSRA)報告。2019年OSSRA報告中最值得注意的開源風險趨勢包括:

開源采用率大幅提升。2018年審計的代碼庫中96%包含開源組件,每個代碼庫中平均有298個開源組件,2017年則為257個。

開源許可證沖突可能會使知識產(chǎn)權(quán)面臨風險。68%的代碼庫包含某種形式的開源許可證沖突,38%的代碼庫包含沒有可識別許可證的開源組件。

“廢棄”組件的使用很常見。85%的代碼庫包含過去四年以上老式的組件或者過去兩年沒有開發(fā)的組件。如果一個組件處于非活躍狀態(tài)或者無人維護,也就意味著沒有人正在處理其潛在的漏洞。

許多組織未能修補或更新其開源組件。2018年黑鴨審計中確定的漏洞的平均年齡是6.6年,略高于2017年 。這表明補救措施沒有顯著改善。2018年掃描的代碼庫中有43%包含超過十年以上的漏洞。國家漏洞數(shù)據(jù)庫(National Vulnerability Database)顯示2018年增加了16,500個新漏洞,其明確的修補流程需要擴展以適應(yīng)增加的披露的漏洞。

并非所有的漏洞都相同,但許多企業(yè)甚至沒有解決那些風險高的漏洞。超過40%的代碼庫包含至少一個高風險開源漏洞。

報告顯示開源軟件的使用本身并不是問題,實際上這對軟件創(chuàng)新至關(guān)重要。但是未能積極主動地鑒別和管理任何與開源組件使用有關(guān)的安全和許可證風險,可能極具破壞性。雖然風險因素仍然存在,2019年OSSRA報告數(shù)據(jù)表明,在Equifax數(shù)據(jù)泄露之后,開源風險意識的提高和商業(yè)軟件組件分析解決方案的成熟度已經(jīng)取得了進展:

企業(yè)在管理開源安全漏洞方面正漸入佳境。2018年審計的代碼庫中有60%包含至少一個漏洞,相比2017年的78%已經(jīng)改善不少。

總體而言,開源許可證合規(guī)性也得到了改善。2018年審計的代碼庫中有68%包含有許可證沖突的組件,2017年則為74%。

楊國梁介紹說,目前新思科技的Black Duck軟件組成分析解決方案,已經(jīng)能很好地解決開源軟件這些問題。通過識別、保護、管理和監(jiān)測這四個階段,就能夠準確的查找到所有在用的開源組件,確認其中有無不當?shù)拈_源許可,再通過安全策略有效保障開源軟件的安全性。

新思科技不僅在對開源軟件的檢測中能夠有效的幫助到開發(fā)者,同時針對開發(fā)流程也是開發(fā)者的得力助手。不同于傳統(tǒng)的代碼檢測公司,他們都是在產(chǎn)品研發(fā)完成之后再進行代碼的檢測和修復(fù),修復(fù)之后,還要再重新進行驗證流程,檢測周期非常長。發(fā)現(xiàn)漏洞或問題,就要從頭查起,找到問題所在。

例如,新思科技通過Polaris軟件完整性平臺幫助安全和開發(fā)團隊更快地構(gòu)建安全、優(yōu)質(zhì)的軟件?;赑olaris軟件完整性平臺,企業(yè)開發(fā)團隊可以在開發(fā)早期檢測和修復(fù)漏洞,并且在整個軟件開發(fā)生命周期(SDLC)中集成和自動化全面的安全分析,在整個應(yīng)用程序組合中全面管理應(yīng)用程序安全風險。

“通過開發(fā)者在編寫代碼的同時,就對代碼的安全性以及功能的交互性進行檢測,開發(fā)人員可以在任何時間、任意代碼模塊開發(fā)結(jié)束之后來進行檢查,一旦發(fā)現(xiàn)有嚴重安全問題就可以及時修正,時效性大大提升?!睏顕褐v到,Polaris軟件完整性平臺的四大優(yōu)勢:早期風險發(fā)現(xiàn)和遷移;從檢測到預(yù)防向左推移;簡單和靈活地運營;綜合風險報告能夠有效的幫助到開發(fā)者,讓其在不影響開發(fā)進程的情況下,設(shè)計出一個安全高效的軟件系統(tǒng)。

隨著5G技術(shù)的加持,物聯(lián)網(wǎng)將不可避免地進入一個野蠻生長時期,企業(yè)在當前的物聯(lián)網(wǎng)基礎(chǔ)階段,必須保證所寫下的每一行代碼都是安全的。

新思科技讓“魚和熊掌”都可兼得

正如前面所提到的,軟件企業(yè)往往為了性能而忽視了安全,要不就是為了安全就降低了性能。物聯(lián)網(wǎng)快速發(fā)展下,企業(yè)更應(yīng)該將安全作為軟件開發(fā)的前提,不斷的提升軟件性能和服務(wù)。

“新思科技所定義的軟件完整性包括軟件質(zhì)量和軟件安全兩部分,只有這兩個都做到了,軟件才是真正意義上的完整?!睏顕罕硎?,如果要研發(fā)出高質(zhì)量、安全可靠的軟件,企業(yè)就要把安全深度融入到整個軟件開發(fā)生命周期(SDLC)。通過將自動化安全監(jiān)測機制加入到需求、設(shè)計、研發(fā)、測試、發(fā)布整個流程中,從而確保軟件的質(zhì)量。

他談到,新思科技構(gòu)建出完整、安全、高質(zhì)量的SDLC解決方案,把的測試技術(shù)、自動化分析以及專家結(jié)合到一起,創(chuàng)建出強大的產(chǎn)品和服務(wù)組合。該組合能夠讓企業(yè)開發(fā)出定制的程序,用在開發(fā)流程的早期發(fā)現(xiàn)并修復(fù)缺陷和漏洞,從而大限度降低風險并提高生產(chǎn)力。

目前,高科技、物聯(lián)網(wǎng)、設(shè)備商、互聯(lián)網(wǎng)等行業(yè)市場的前沿客戶和第一梯隊的客戶接受程度非常高,對于軟件安全越來越重視,通過白盒測試、開源管控、黑盒測試、灰盒測試、甚至交互測試等強化軟件質(zhì)量和安全。特別是金融行業(yè)客戶已經(jīng)在主動實現(xiàn)SDLC(Security Development Lifecycle)了。業(yè)界基本都已經(jīng)達成共識,要從軟件開發(fā)源頭就開始注重安全防護能力。

技術(shù)的變幻莫測,讓企業(yè)的發(fā)展充滿了新的改變機遇;但不管怎么變化,“安全”則是永恒不變的。當諸多產(chǎn)品和技術(shù)在周圍應(yīng)用時,我們需要做的就是時刻“重視”安全,主動打造堅實的安全機制,從第一行代碼打地基開始,構(gòu)筑一個安全可靠的軟件大樓。

新聞名稱:安全,從寫第一行代碼開始
分享路徑:http://muchs.cn/news19/100569.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供服務(wù)器托管、外貿(mào)網(wǎng)站建設(shè)、App開發(fā)、搜索引擎優(yōu)化、關(guān)鍵詞優(yōu)化虛擬主機

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

搜索引擎優(yōu)化