CDEC2020 搜索 導航菜單

5G物聯時代,我們靠什么保衛自己的安全?

[摘要]不知不覺之間,我們已經進入了5G時代,而與之相伴的,還將是物聯網應用的爆發。但也許我們不曾想過,當物聯網、5G與我們的生活息息相關之時
不知不覺之間,我們已經進入了5G時代,而與之相伴的,還將是物聯網應用的爆發。但也許我們不曾想過,當物聯網、5G與我們的生活息息相關之時,其中的安全問題又需要怎樣的保障?帶著這樣的問題,我們在2019第二屆世界物聯網安全峰會上,走訪了新思科技(Synopsys)軟件質量與安全部門高級安全架構師楊國梁。

軟件是安全的基礎

當前,越來越多的專業人士認同這樣一個觀點:安全問題已經是一個系統工程,涉及到信息系統的方方面面。

新思科技軟件質量與安全部門高級安全架構師楊國梁

楊國梁表示認同這種觀點,他介紹說:“當我們回顧安全問題時,會發現最終的問題最可能出現在這三個方面:軟件存在設計缺陷、安全漏洞、弱密碼。這三種原因歸結到軟件上,我們就會發現實際上是在需求設計、研發測試和交付運維三個環節都存在問題。這三個階段貫穿了整個的軟件生命周期,實際上在提醒我們,要讓安全問題的解決實現自動化,并把它集成到研發流程中去,才是軟件安全問題的最終解決之道。”

軟件是安全的基礎,這是一個常識性的問題,新思科技首席顧問Larry Trowell此前在談及如何防止IoT黑客攻擊這個問題時,將答案歸結為“重視。”如此一來,這個問題的答案,就由技術問題轉變成了態度問題。

楊國梁表示:“當IoT處于高速發展的階段時,軟件的功能和安全往往會構成一對矛盾,業界人士可能會重功能而輕安全。當功能的便利性和安全發生沖突時,大家可能不會為了安全而去犧牲掉一些功能特點。”

應對軟件行業中存在的重功能輕安全的這一問題,新思科技一直以來致力幫助企業快速構建安全、優質的軟件。新思科技為企業構建完整、安全、高質量的 SDLC 和供應鏈提供了最全面的解決方案,并且把領先的測試技術、自動化分析以及專家結合到一起,創建出強大的產品和服務組合。該組合能夠讓企業開發出定制的程序,用于在開發流程的早期發現并修復缺陷和漏洞,從而最大限度降低風險,最大限度提高生產力。新思科技在應用安全測試領域成為公認領導者,它是全球第十五大軟件公司。

軟件是安全的基礎雖然是一個老生常談式的問題,但在物聯網、5G等技術將要進入一個野蠻生長時期的轉折點時,卻成為了一個值得我們深思的大問題。

轉了一圈之后,也許我們會重新發現:軟件是安全的基礎,而打牢這個基礎的方法,在于我們重新開始重視軟件本身的安全,把安全的方法融入軟件開發過程。現在,是需要我們轉變態度的關鍵時刻了。

5G時代的安全選擇

5G時代的開啟,讓業界開始重新思考5G能為業界帶來些什么。也許不僅是網速的提升,還有物聯網中更多的傳感器被采用。在不遠的將來,也許我們每個人都會采用上千個傳感器,而其中的信息更是與我們的安全息息相關。

新思科技首席顧問Larry Trowell此前曾提出“物聯網的每個元素都會產生新的技術,而且在大多數情況下,這些技術還不夠安全。”這其實一點也不難理解,物聯網應用已經開始滲入我們的生活,并正在呈爆炸性增長。但是物聯網行業仍然存在一個嚴重的問題:制造商傾向于在違規之后,或者安全研究人員發現漏洞后才去進行修復。他們不會在發布之前就為產品構建強大的安全性以防患于未然。但這種做法卻可能給物聯網用戶帶來更多不安全。

就這個問題,楊國梁談了自己的觀點:“在5G物聯網時代,開發企業在軟件開發階段就必須主動采取安全措施。以往用戶愛用防火墻、入侵檢測這類安全措施,但這種做法的實質是采用安全軟件,這種軟件存在的目的是確保用戶安全。這種做法是通過對用戶的邊界防護來實現的。但在5G物聯網時代,系統圍繞在用戶身邊,用戶的個人風險、個人財產的風險,甚至個人生命的風險,都可能取決于這些物聯網設備。這個時候,當出現問題之后再去做出補救,可能為時已晚。所以新思科技的做法是把安全防護置前,幫用戶開發安全的軟件。這樣用戶不再依賴于邊界防護的方法,因為系統本身就是一個足夠健壯的系統。”

也許我們可以這樣理解,隨著5G時代的來臨,物聯網將不可避免地進入一個野蠻生長時期。為了保障物聯網的安全,也許我們在當前的物聯網的筑基階段,必須保證所寫下的每一行代碼都是安全的。

開源時代如何讓安全得到保障

與5G、云計算、物聯網等技術浪潮不同,開源技術是另一條長年不衰的主線。也許在十年前,開源業界的人士還在為某個開源應用成為知名大企業的核心應用,而興奮不已;那么到了今天,幾乎在每一次新技術浪潮中,從云計算到容器技術,開源技術都有重頭產品推出,并占據大量市場份額。

新思科技網絡安全研究中心發布的《2019年度開源安全與風險分析報告》顯示,被審計代碼庫中開源代碼的占比,按行業劃分為:所調查的企業軟件/SaaS,58%包含開源代碼;所調查的互聯網和軟件基礎架構中,61%包含開源代碼;所調查的零售和電子商和系統中,62%包含開源代碼;參與調查的金融服務和金融科技系統中,64%包含開源代碼。

但另一方面,這些開源軟件卻給應用者埋下了一個又一個的坑:在2018被審代碼庫中,68%包含存在許可證沖突的代碼,38%的被審代碼庫中包含“未獲得許可”的代碼,同時被審代碼庫中有85%包含四年前或者最近兩年停止了開發活動的代碼。

談及開源軟件的這些坑,楊國梁介紹說:“許多公司都是用開源軟件而不知,可能是開發人員因為時間緊,找到一個能用的開源組件,就直接用上了;也可能是外包公司在開發的過程中應用了開源軟件。總之,開源軟件有各種途徑能夠進入用戶的系統,而不是用戶指定一定要用開源軟件,才會用上它。因為管理的原因,開源軟件中可能存在各類風險。”

具體來說,楊國梁解釋說:“開源軟件因為管理的原因,可能存在安全漏洞。此外,并不是所有的開源軟件都可以隨便使用,開源軟件需要遵循不同的許可協義。最后,開源項目可能因為主要開發者退出,而處于開發停滯狀態,用戶用了這樣的開源軟件,以后的系統穩定性就無法得到保證。”

而說到解除方法,楊國梁介紹說:“目前新思科技的Black Duck軟件組成分析解決方案,已經能很好地解決開源軟件這些問題。通過識別、保護、管理和監測這四個步驟,就可以查找到所有在用的開源組件,確認其中有無不當的開源許可,再通過安全策略保障開源軟件的安全,最后通過探明開源軟件是否處于更新停更階段,就可以有效保障開源軟件的安全性。”

楊國梁最后強調說:“開源軟件是一個大寶庫,但要想用好它,前提一定是要把開源軟件中安全的坑填平。”

對于充滿了新浪潮的IT業來說,也許變化是唯一的不變。但當5G、云計算、物聯網、開源等諸多新課題以疊加的方式在我們面前爆裂開來時,我們需要考慮的不僅是被動的應對,還要有主動的安全防護措施。5G物聯時代,將安全防護置前,讓我們在筑基階段走好每一步,也許才是保護我們自己安全的最好選擇。




版權聲明:

凡本網注明”來源:中國軟件網(http://www.ulpmv.club)”的所有作品,版權均屬于中國軟件網或昆侖海比(北京)信息技術有限公司,未經本網書面授權,不得轉載、摘編或以其它方式使用上述作品。

任何行業、傳播媒體轉載、摘編中國軟件網(http://www.ulpmv.club)刊登、發布的產品信息及新聞文章,必須按有關規定向本網站載明的相應著作權人支付報酬并在其網站上注明真實作者和真實出處,且轉載、摘編不得超過本網站刊登、轉載該信息的范圍;未經本網站的明確書面許可,任何人不得復制或在非本網站所屬的服務器上做鏡像。

本網書面授權使用作品的,應在授權范圍內使用,并按雙方協議注明作品來源。違反上述聲明者,昆侖海比(北京)信息技術有限公司將追究其相關法律責任。
微信公眾號 微信公眾號
华东联网15选5走势图
新11选5开奖 江苏7位数开奖历史 内蒙古快3专家预测豹子 11选5北京一定牛 河北快3开将结果 杠杆炒股平台 万盛棋牌官网平台 海南麻将规则怎么有番 广东十一选五走势一 单机版麻将游戏下载 河南22选5下期预测推荐 最新捕鱼游戏怎么玩 熊猫四川麻将电脑版 快3开奖结果查询安 江西11选5人工计划 北京快三一定牛走势图