2021-02-12 分類: 網(wǎng)站建設(shè)
伴隨5G時(shí)代的腳步漸進(jìn),物聯(lián)網(wǎng)發(fā)展也將成井噴式增長,“網(wǎng)絡(luò)安全”這個(gè)老生常談的話題似乎進(jìn)入了新階段。數(shù)據(jù)是天使?還是魔鬼?歸根結(jié)底,沒有安全保障的物聯(lián)網(wǎng)終將不可持續(xù)發(fā)展。
近日,2019第二屆世界物聯(lián)網(wǎng)安全峰會(huì)在京召開,新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁出席大會(huì)并發(fā)表演講。 期間,CSDN記者特別采訪了楊國梁,共同聊了聊在物聯(lián)網(wǎng)發(fā)展的背景下,怎樣從全生命周期角度構(gòu)建整體安全體系以及如何在軟件發(fā)布之前確保其安全等諸多問題。
根據(jù)研究機(jī)構(gòu)IDC報(bào)告,2020年物聯(lián)網(wǎng)市場規(guī)模將達(dá)到17,000億美元,設(shè)備將有200億臺(tái)。快速發(fā)展的物聯(lián)網(wǎng)行業(yè),同時(shí)也產(chǎn)生了很多新問題,其中物聯(lián)網(wǎng)信息安全成為關(guān)鍵。例如最近爆出的幾則新聞,谷歌旗下智能家居公司Nest攝像頭遭黑客攻擊、智能手表可成為黑客攻擊的目標(biāo)、藍(lán)牙設(shè)備也可能被入侵等。
過去以往,用戶是用防火墻、入侵檢測等安全措施,本質(zhì)是采用安全軟件來確保用戶安全,主要通過對用戶邊界防護(hù)來實(shí)現(xiàn);但在物聯(lián)網(wǎng)時(shí)代,軟硬件360°的圍繞在用戶身邊,個(gè)人財(cái)產(chǎn)風(fēng)險(xiǎn)、甚至生命風(fēng)險(xiǎn),都可能取決于物聯(lián)網(wǎng)設(shè)備。這個(gè)時(shí)候,當(dāng)出現(xiàn)問題之后再去做出補(bǔ)救,可能為時(shí)已晚。
“設(shè)計(jì)缺陷、安全漏洞和弱密碼等是造成物聯(lián)網(wǎng)威脅的主要因素?!睏顕罕硎荆槍δ壳捌髽I(yè)在軟件產(chǎn)品研發(fā)過程中可能存在的重功能、輕安全的現(xiàn)象,新思科技的做法是把安全防護(hù)前置,融入到軟件開發(fā)過程中,幫企業(yè)開發(fā)出安全的軟件。這樣企業(yè)不再依賴于邊界防護(hù)的方法,因?yàn)橄到y(tǒng)本身就是一個(gè)足夠健壯的系統(tǒng)。
為了解決物聯(lián)網(wǎng)的安全問題,新思科技提供了一整套的貫穿物聯(lián)網(wǎng)生命周期的安全工具,從需求設(shè)計(jì)到研發(fā)測試、交付運(yùn)維等全面保障物聯(lián)網(wǎng)安全,這包括Polaris、Seeker、Coverity、Black Duck等一整套解決方案。
在采訪的過程中,楊國梁特別介紹了Coverity產(chǎn)品。據(jù)了解Coverity是一款靜態(tài)代碼分析工具,是新思科技軟件質(zhì)量與安全部門的主打產(chǎn)品之一,該工具主要是為企業(yè)的軟件開發(fā)提供在整個(gè)SDLC(軟件開發(fā)生命周期)過程中檢測和修復(fù)缺陷所需要的東西。它能夠完全的滿足企業(yè)應(yīng)用安全開發(fā)團(tuán)隊(duì)日益增長的三大需求:可擴(kuò)展性、多種編程語言和框架支持,以及全面的漏洞分析。
他講到,網(wǎng)絡(luò)安全是一個(gè)快速變化的動(dòng)態(tài)市場,客戶需求日新月異,為了幫助用戶更有效地應(yīng)對挑戰(zhàn),Coverity每年都會(huì)進(jìn)行兩次重大升級,以及一些小修小補(bǔ)升級。
把安全威脅從開始就排除
如今開源被認(rèn)為是全球最偉大的共享經(jīng)濟(jì),軟件作者將源代碼開放,全球碼農(nóng)們可以自行使用、復(fù)制、散布、研究和改進(jìn)。正因?yàn)樵陂_源的世界里“無邊界”、“無國界”,開源代碼必然一樣存在安全隱患。
新思科技近日發(fā)布了《2019年開源安全和風(fēng)險(xiǎn)分析》(OSSRA)報(bào)告。2019年OSSRA報(bào)告中最值得注意的開源風(fēng)險(xiǎn)趨勢包括:
開源采用率大幅提升。2018年審計(jì)的代碼庫中96%包含開源組件,每個(gè)代碼庫中平均有298個(gè)開源組件,2017年則為257個(gè)。
開源許可證沖突可能會(huì)使知識(shí)產(chǎn)權(quán)面臨風(fēng)險(xiǎn)。68%的代碼庫包含某種形式的開源許可證沖突,38%的代碼庫包含沒有可識(shí)別許可證的開源組件。
“廢棄”組件的使用很常見。85%的代碼庫包含過去四年以上老式的組件或者過去兩年沒有開發(fā)的組件。如果一個(gè)組件處于非活躍狀態(tài)或者無人維護(hù),也就意味著沒有人正在處理其潛在的漏洞。
許多組織未能修補(bǔ)或更新其開源組件。2018年黑鴨審計(jì)中確定的漏洞的平均年齡是6.6年,略高于2017年 。這表明補(bǔ)救措施沒有顯著改善。2018年掃描的代碼庫中有43%包含超過十年以上的漏洞。國家漏洞數(shù)據(jù)庫(National Vulnerability Database)顯示2018年增加了16,500個(gè)新漏洞,其明確的修補(bǔ)流程需要擴(kuò)展以適應(yīng)增加的披露的漏洞。
并非所有的漏洞都相同,但許多企業(yè)甚至沒有解決那些風(fēng)險(xiǎn)高的漏洞。超過40%的代碼庫包含至少一個(gè)高風(fēng)險(xiǎn)開源漏洞。
報(bào)告顯示開源軟件的使用本身并不是問題,實(shí)際上這對軟件創(chuàng)新至關(guān)重要。但是未能積極主動(dòng)地鑒別和管理任何與開源組件使用有關(guān)的安全和許可證風(fēng)險(xiǎn),可能極具破壞性。雖然風(fēng)險(xiǎn)因素仍然存在,2019年OSSRA報(bào)告數(shù)據(jù)表明,在Equifax數(shù)據(jù)泄露之后,開源風(fēng)險(xiǎn)意識(shí)的提高和商業(yè)軟件組件分析解決方案的成熟度已經(jīng)取得了進(jìn)展:
企業(yè)在管理開源安全漏洞方面正漸入佳境。2018年審計(jì)的代碼庫中有60%包含至少一個(gè)漏洞,相比2017年的78%已經(jīng)改善不少。
總體而言,開源許可證合規(guī)性也得到了改善。2018年審計(jì)的代碼庫中有68%包含有許可證沖突的組件,2017年則為74%。
楊國梁介紹說,目前新思科技的Black Duck軟件組成分析解決方案,已經(jīng)能很好地解決開源軟件這些問題。通過識(shí)別、保護(hù)、管理和監(jiān)測這四個(gè)階段,就能夠準(zhǔn)確的查找到所有在用的開源組件,確認(rèn)其中有無不當(dāng)?shù)拈_源許可,再通過安全策略有效保障開源軟件的安全性。
新思科技不僅在對開源軟件的檢測中能夠有效的幫助到開發(fā)者,同時(shí)針對開發(fā)流程也是開發(fā)者的得力助手。不同于傳統(tǒng)的代碼檢測公司,他們都是在產(chǎn)品研發(fā)完成之后再進(jìn)行代碼的檢測和修復(fù),修復(fù)之后,還要再重新進(jìn)行驗(yàn)證流程,檢測周期非常長。發(fā)現(xiàn)漏洞或問題,就要從頭查起,找到問題所在。
例如,新思科技通過Polaris軟件完整性平臺(tái)幫助安全和開發(fā)團(tuán)隊(duì)更快地構(gòu)建安全、優(yōu)質(zhì)的軟件。基于Polaris軟件完整性平臺(tái),企業(yè)開發(fā)團(tuán)隊(duì)可以在開發(fā)早期檢測和修復(fù)漏洞,并且在整個(gè)軟件開發(fā)生命周期(SDLC)中集成和自動(dòng)化全面的安全分析,在整個(gè)應(yīng)用程序組合中全面管理應(yīng)用程序安全風(fēng)險(xiǎn)。
“通過開發(fā)者在編寫代碼的同時(shí),就對代碼的安全性以及功能的交互性進(jìn)行檢測,開發(fā)人員可以在任何時(shí)間、任意代碼模塊開發(fā)結(jié)束之后來進(jìn)行檢查,一旦發(fā)現(xiàn)有嚴(yán)重安全問題就可以及時(shí)修正,時(shí)效性大大提升?!睏顕褐v到,Polaris軟件完整性平臺(tái)的四大優(yōu)勢:早期風(fēng)險(xiǎn)發(fā)現(xiàn)和遷移;從檢測到預(yù)防向左推移;簡單和靈活地運(yùn)營;綜合風(fēng)險(xiǎn)報(bào)告能夠有效的幫助到開發(fā)者,讓其在不影響開發(fā)進(jìn)程的情況下,設(shè)計(jì)出一個(gè)安全高效的軟件系統(tǒng)。
隨著5G技術(shù)的加持,物聯(lián)網(wǎng)將不可避免地進(jìn)入一個(gè)野蠻生長時(shí)期,企業(yè)在當(dāng)前的物聯(lián)網(wǎng)基礎(chǔ)階段,必須保證所寫下的每一行代碼都是安全的。
新思科技讓“魚和熊掌”都可兼得
正如前面所提到的,軟件企業(yè)往往為了性能而忽視了安全,要不就是為了安全就降低了性能。物聯(lián)網(wǎng)快速發(fā)展下,企業(yè)更應(yīng)該將安全作為軟件開發(fā)的前提,不斷的提升軟件性能和服務(wù)。
“新思科技所定義的軟件完整性包括軟件質(zhì)量和軟件安全兩部分,只有這兩個(gè)都做到了,軟件才是真正意義上的完整?!睏顕罕硎荆绻邪l(fā)出高質(zhì)量、安全可靠的軟件,企業(yè)就要把安全深度融入到整個(gè)軟件開發(fā)生命周期(SDLC)。通過將自動(dòng)化安全監(jiān)測機(jī)制加入到需求、設(shè)計(jì)、研發(fā)、測試、發(fā)布整個(gè)流程中,從而確保軟件的質(zhì)量。
他談到,新思科技構(gòu)建出完整、安全、高質(zhì)量的SDLC解決方案,把的測試技術(shù)、自動(dòng)化分析以及專家結(jié)合到一起,創(chuàng)建出強(qiáng)大的產(chǎn)品和服務(wù)組合。該組合能夠讓企業(yè)開發(fā)出定制的程序,用在開發(fā)流程的早期發(fā)現(xiàn)并修復(fù)缺陷和漏洞,從而大限度降低風(fēng)險(xiǎn)并提高生產(chǎn)力。
目前,高科技、物聯(lián)網(wǎng)、設(shè)備商、互聯(lián)網(wǎng)等行業(yè)市場的前沿客戶和第一梯隊(duì)的客戶接受程度非常高,對于軟件安全越來越重視,通過白盒測試、開源管控、黑盒測試、灰盒測試、甚至交互測試等強(qiáng)化軟件質(zhì)量和安全。特別是金融行業(yè)客戶已經(jīng)在主動(dòng)實(shí)現(xiàn)SDLC(Security Development Lifecycle)了。業(yè)界基本都已經(jīng)達(dá)成共識(shí),要從軟件開發(fā)源頭就開始注重安全防護(hù)能力。
技術(shù)的變幻莫測,讓企業(yè)的發(fā)展充滿了新的改變機(jī)遇;但不管怎么變化,“安全”則是永恒不變的。當(dāng)諸多產(chǎn)品和技術(shù)在周圍應(yīng)用時(shí),我們需要做的就是時(shí)刻“重視”安全,主動(dòng)打造堅(jiān)實(shí)的安全機(jī)制,從第一行代碼打地基開始,構(gòu)筑一個(gè)安全可靠的軟件大樓。
網(wǎng)站題目:安全,從寫第一行代碼開始
本文路徑:http://www.rwnh.cn/news/100569.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信公眾號(hào)、服務(wù)器托管、ChatGPT、營銷型網(wǎng)站建設(shè)、網(wǎng)站排名、手機(jī)網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容