CDEC2020 搜索 導航菜單

新思科技楊國梁:安全貫穿始終,物聯網需要強化開源管理

[摘要]毋庸置疑,我們現在處于一個智能物聯的時代,身邊的物聯網設備眾多,特別是智能家居產品、智能終端、自動駕駛等。隨著這些設備給我們帶來非
毋庸置疑,我們現在處于一個智能物聯的時代,身邊的物聯網設備眾多,特別是智能家居產品、智能終端、自動駕駛等。隨著這些設備給我們帶來非常便利和舒適的生活體驗,但是“安全”已經成了物聯網行業發展必須要面對的問題。為什么這樣說?讓我們看近期發生的幾起物聯網(IoT)安全事件:谷歌旗下智能家居公司Nest的攝像頭遭黑客攻擊、智能手表可成為黑客攻擊的目標、藍牙設備也可能被入侵等等。

物聯網應用已經開始滲入我們的生活,并正在呈爆炸性增長。但是物聯網行業仍然存在一個嚴重的問題:制造商傾向于在違規之后,或者安全研究人員發現漏洞后才去進行修復。他們不會在發布之前就為產品構建強大的安全性以防患于未然。

新思科技楊國梁:安全貫穿始終,物聯網需要強化開源管理

新思科技軟件質量與安全部門高級安全架構師楊國梁表示,物聯網高速發展,廠商可能更加重視功能實現而不是安全。某種程度上,功能和安全是相沖突的,你為了確保安全,可能要犧牲掉功能的便利性。所以在物聯網高速發展的場景下,安全問題也就變得格外重要。廠商應該在不犧牲研發效率或者功能的前提下,盡量把安全考慮進去。

如何防止物聯網黑客攻擊?在軟件發布之前就要確保其安全。新思科技認為這并不難。隨著越來越多的專業人士加入物聯網行業,進行安全測試的設備的比率正在上升。而且安全測試工具也越來越精細。為了解決物聯網的安全問題,新思科技提供了一整套的貫穿物聯網生命周期的安全工具,從需求設計到研發測試、交付運維等全面保障物聯網安全,這包括Polaris、Seeker、Coverity、Black Duck等一整套解決方案。

安全融入SDLC

楊國梁告訴記者,如果要研發出高質量、安全可靠的軟件,新思科技推薦把安全深度融入到整個軟件開發生命周期(SDLC)。對于應用場景而言,新思科技更多從整個開發流程入手,在需求、設計、研發、測試、發布等流程中融入自動化的手段確保軟件質量和安全。

新思科技定義軟件完整性是軟件質量和軟件安全,這兩個都做到了就完整了。所以,對于軟件開發的企業來說,軟件質量和安全性是一定要達到的目標,并且這是一項旅程,是持續的過程。在這個過程中,工具作為向導,可以幫助企業提前檢測和解決質量和安全問題。

為了達到這樣的目標,新思科技推出Polaris軟件完整性平臺將新思科技軟件質量與安全的產品和服務的強大功能整合到一個集成解決方案中,幫助安全和開發團隊更快地構建安全、優質的軟件;新思科技Seeker交互式應用安全測試(IAST)解決方案支持DevSecOps及持續交付安全的Web應用程序;新思科技Coverity靜態應用安全測試(SAST)解決方案幫助各類機構更快地構建安全的應用程序,Coverity解決了企業應用安全開發團隊日益增長的三大需求:可擴展性、多種編程語言和框架支持,以及全面的漏洞分析;新思科技黑鴨軟件組成分析(SCA)解決方案提供全面的軟件組成分析解決方案,用于管理在應用程序和容器中使用開源和第三方代碼所帶來的安全性、質量和許可合規性風險。黑鴨SCA是唯一能夠跨源代碼、二進制文件、代碼段、軟件包和容器識別開源的解決方案。

如此豐富的產品組合可以幫助企業構建安全和有質量的軟件產品。新思科技構建出完整、安全、高質量的SDLC解決方案,把領先的測試技術、自動化分析以及專家結合到一起,創建出強大的產品和服務組合。該組合能夠讓企業開發出定制的程序,用在開發流程的早期發現并修復缺陷和漏洞,從而最大限度降低風險并提高生產力。

楊國梁說,新思科技在應用安全測試領域具有獨特的優勢,能夠把最新實踐改編和應用到各種新技術和新趨勢之中,例如物聯網、DevOps、CI/CD和云計算等。測試結束時,還提供上線和部署協助、有針對性的補救指導以及各種培訓解決方案。

除了這些,新思科技軟件安全構建成熟度模型——BSIMM9旨在幫助企業規劃、執行并評估其軟件安全計劃(SSIs)。BSIMM9是軟件安全構建成熟度模型(BSIMM)的第九個版本,收集了120家企業過去10年的真實數據。BSIMM9描述了7800多名軟件安全專家的工作成果,展現了軟件安全最佳實踐模塊背后的科學性。這些成果對41.5萬名開發人員有指導作用,幫助他們最大化地保障產品的安全性。這些開發人員參與約13.5萬應用程序的開發工作。參與BSIMM9調研的企業來自有代表性的垂直行業,包括金融服務、獨立軟件供應商(ISVs),云、醫療衛生、物聯網、保險及零售業。

楊國梁表示,現在行業廠商比如高科技、物聯網、設備商、互聯網等對于軟件安全越來越重視,通過白盒測試,開源管控、黑盒測試、灰盒測試、甚至交互測試等強化軟件質量和安全。特別是金融行業客戶已經在主動實現SDL(Security Development Lifecycle)了。

開源管理有待加強

針對目前的物聯網安全問題,楊國梁指出:“設計缺陷、安全漏洞和弱密碼等是造成物聯網威脅的主要因素。同時,物聯網行業也需要重視開源代碼的安全使用。當然,我們不是說企業應該停止使用開源,而是應該積極主動地去進行開源管理,從一開始就將安全內置在物聯網中。”

物聯網需要無數的軟件來支撐。但是開發人員往往更關注他們創建的軟件代碼,而忽略了使用的開源代碼,導致黑客有機可乘。例如,不久前,黑客竊取了分析服務Picreel和開源項目Alpaca Forms的數據,并修改了它們的JavaScript文件,進而在超過4600個網站上嵌入惡意代碼。

根據新思科技發布的《2019年開源安全和風險分析》(OSSRA)報告,現在企業面臨著開源應用風險管理的挑戰。開源在現代軟件開發和部署中發揮著越來越重要的作用,但要實現其價值,企業需要從安全性和許可證合規的角度來理解和管理它如何影響其風險態勢。

2019年OSSRA報告中最值得注意的開源風險趨勢包括: 開源采用率大幅提升。2018年審計的代碼庫中96%包含開源組件,每個代碼庫中平均有298個開源組件,2017年則為257個;開源許可證沖突可能會使知識產權面臨風險。68%的代碼庫包含某種形式的開源許可證沖突,38%的代碼庫包含沒有可識別許可證的開源組件;“廢棄”組件的使用很常見。85%的代碼庫包含過去四年以上老式的組件或者過去兩年沒有開發的組件。如果一個組件處于非活躍狀態或者無人維護,也就意味著沒有人正在處理其潛在的漏洞;許多組織未能修補或更新其開源組件。2018年黑鴨審計中確定的漏洞的平均年齡是6.6年,略高于2017年 。這表明補救措施沒有顯著改善。2018年掃描的代碼庫中有43%包含超過十年以上的漏洞。國家漏洞數據庫(National Vulnerability Database)顯示2018年增加了16500個新漏洞,其明確的修補流程需要擴展以適應增加的披露的漏洞;并非所有的漏洞都相同,但許多企業甚至沒有解決那些風險最高的漏洞。超過40%的代碼庫包含至少一個高風險開源漏洞。

報告顯示開源軟件的使用本身并不是問題,實際上這對軟件創新至關重要。但是未能積極主動地鑒別和管理任何與開源組件使用有關的安全和許可證風險,可能極具破壞性。雖然風險因素仍然存在,2019年OSSRA報告數據表明,在Equifax數據泄露之后,開源風險意識的提高和商業軟件組件分析解決方案的成熟度已經取得了進展: 企業在管理開源安全漏洞方面正漸入佳境。2018年審計的代碼庫中有60%包含至少一個漏洞,相比2017年的78%已經改善不少。總體而言,開源許可證合規性也得到了改善。2018年審計的代碼庫中有68%包含有許可證沖突的組件,2017年則為74%。

楊國梁說,在物聯網中使用開源技術,一個是安全漏洞問題,如果有新的安全漏洞出現,這個安全漏洞影響我的產品,我是否有預案?一個是許可證問題,許可證是不是合規合法使用?合規問題一定要貫穿到整個研發的體系里面。“那怎么能正確地執行IoT安全方案?重視。大家注意到這些問題,意識到重要性,所以會要求有所改變。”




免責聲明:

本站系本網編輯轉載,會盡可能注明出處,但不排除無法注明來源的情況,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。如涉及作品內容、版權和其它問題,請在30日內與本網聯系, 來信: [email protected] 我們將在收到郵件后第一時間刪除內容!

[聲明]本站文章版權歸原作者所有,內容為作者個人觀點,不代表本網站的觀點和對其真實性負責,本站擁有對此聲明的最終解釋權。
微信公眾號 微信公眾號
华东联网15选5走势图
国外问卷调查赚钱2019 方舟配资 学生怎么在网上赚钱 申城棋牌作弊软件 河北十一选五开奖历 今日足球比赛 微信群2元麻将案例 极速快三骰子规律 黑龙江p62玩法开奖结果 长春麻将小鸡飞蛋怎么玩 白小l姐资料图库 吉祥白城麻将下载 1分彩彩票开奖 鑫福 安徽25选5预测 最新南粤36选7走势图