主辦單位:中國物品編碼中心 | 中國自動識別技術協會 | 《中國自動識別技術》雜志社

設為首頁 | 加入收藏 | 關于我們

  特別報道  正文

安全才是企業競合的力量

新思科技軟件質量與安全部門高級安全架構師楊國梁

發布時間:2019年09月04日 來源:中國自動識別網 作者:鄭昱

2019年OSSRA報告提供了商業應用程序中開源風險管理的狀況概覽。報告表明目前仍然存在重大挑戰,絕大多數的應用程序包含開源安全漏洞和許可證沖突,但同時也強調這些挑戰是可以解決的,因為開源漏洞和許可證沖突的數量與去年相比有所下降。

 

新思科技發布《2019年開源安全和風險分析》(OSSRA)報告顯示,現在企業面臨著開源應用風險管理的挑戰。這些難題雖然在過去幾年就已顯露出來,但數據表明現在到達拐點,由于風險意識和商業軟件組件分析解決方案成熟度的提高,許多企業提升了其管理開源風險的能力。“開源在現代軟件開發和部署中發揮著越來越重要的作用,但要實現其價值,企業需要從安全性和許可證合法、合規的角度出發,理解和管理它如何影響其風險態勢。”
“對于一家主要面向ToB市場的企業來說,在掌握開源應用趨勢和模式后,如何更好地為客戶服務是新思科技推出OSSRA報告的初衷,更是新思科技根據客戶需求,從白盒(靜態代碼分析)到開源組件治理、應用式的安全測試,從對未知漏洞的挖掘測試到滲透測試服務、托管測試服務、安全成熟度評估等方方面面的測試工作,幫助客戶更快、更好、更安全地打造他們的軟件王國。”新思科技軟件質量與安全部門高級安全架構師楊國梁認為“安全性已經不是一個企業或者一個行業必須面臨的挑戰,它是物聯網時代下所有行業向更高效、更可靠發展的必然。”
 
   
 
Secure Software的本質
隨著物聯網的高速發展,應用場景呈現野蠻生長的態勢。這種情況不可避免,某種程度上講,安全與功能之間是存在沖突的。企業可能為了確保安全,會在現實應用中犧牲功能的便利性,從而影響整個方案的實施。
新思科技所強調的安全與傳統意義上的安全,比如防火墻、入侵測試不是一個概念。傳統意義上安全是security software,其本身就是一個software,它存在的目的就是確保用戶的安全,確保的方法可能就是給用戶加邊界的防護。
新思科技要做的不是security software,而是secure software。比如之前客戶需要依賴防火墻才能防止某種攻擊,通過應用新思科技的解決方案和服務secure software,從客戶研發的源代碼角度切入,通過修改源代碼的方式實現software自身足夠的強大。
 
Shift Left的內涵
最新的OSSRA報告中還提到,許多組織未能修補或更新其開源組件。“2018年黑鴨審計中確定的漏洞的平均年齡是6.6年,略高于2017年。這表明補救措施沒有顯著改善。2018年掃描的代碼庫中有43%包含超過十年以上的漏洞。國家漏洞數據庫(National Vulnerability Database)顯示2018年增加了16,500個新漏洞,其明確的修補流程需要擴展以適應增加的披露漏洞。”
從報告提供的數據不難看出,一個企業級的應用是一個識別、保護和管理的綜合體。如果開源組件本身出現漏洞,一定會在第一時間影響企業產品的性能及后續應用。
新思科技為客戶提供一個自動化的工具,保證客戶在任何時間點、自如操作,不需要等到代碼完成后再進行識別、保護和管理。新思科技提出Shift Left的概念,左移,意味著新思科技提供的自動化工具可以幫助客戶每天自動掃描代碼,在“左”邊完成檢測,在生產、發布、部署這些右邊的系列動作發生之前,實現檢索,最大限度地保證客戶輸出質量的穩定性,從而縮短查缺補漏的周期。
 
 
Policy的共識
高科技、物聯網、互聯網公司,這些行業頭部企業均是新思科技的主要客戶。想要在物聯網世界里乘風破浪,開源代碼的安全使用是這些頭部企業必須正視的問題,布局物聯網應用,必須在policy上達成共識——積極主動地進行開源管理,在代碼源頭將安全內置在物聯網中。
“比如,我們經常提到的白盒測試,在客戶policy安全構建的基礎上,通過詳盡的方案,用自動化工具掃描,客戶可以在具體路徑中快速發現可能觸發的問題,再通過正確的邏輯和函數,實現安全測試,保證客戶SDLC(Security Development Lifecycle)的順利運轉。”這本身就是安全內置的現實體現。
從某種意義上說,只有客戶的policy安全共識建立起來,物聯網開源代碼的安全測試才具有實際意義:當一組開源組件開始掃描,新思科技的自動化工具會在后臺幫助客戶檢測,如果違背了客戶policy,會自動提示客戶這個不能用,并能主動規避。反之,會繼續……
當開源代碼得到持續性的安全監控,對物聯網企業來說就已經擁有了一個業務驅動的立足點,這何嘗不是一次事半功倍的改造升級。
《中國自動識別技術》2019年第4期總第79期

延伸閱讀:

聲明:

    凡本網注明“來源:中國自動識別網、《中國自動識別技術》、《條碼與信息系統》”的所有作品,版權均屬于中國自動識別網、《中國自動識別技術》、《條碼與信息系統》, 未經本網授權不得轉載、摘編或利用其他方式使用上述作品。已經本網授權使用作品的,應在授權范圍內使用,并注明“來源:中國自動識別網、《中國自動識別技術》或《條碼與信息系統》”。違反上述聲明者,本網將追究其相關法律責任。
    凡本網注明“來源:XXX(非中國自動識別網、《中國自動識別技術》、《條碼與信息系統》)”的作品,均轉載自其他媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。文章內容僅供參考。 如因作品內容、版權和其他問題需要同本網聯系的,請將內容傳真至010-84295675,以便本網盡快處理。

高端訪談 更多>>
安全才是企業競合的力量
2019年OSSRA報告提供了商業應用程序中開源風險管理的狀況概覽。報告表明目前仍然存在重大挑戰,絕大多數的應用程序包...
Imagination:在無窮想象...
Andrew Grant于2018年加入Imagination,擔任高級總監,負責人工智能的戰略業務發展,并構建更廣泛的人工智能合作生態...
新思科技:安全而謹慎地擁...
Boris Cipot,新思科技軟件質量與安全部門高級安全工程師,致力于幫助各種類型和規模的企業構建安全的軟件。他擅長開...
ICON:智能家庭的新生力
高清鴻, ICON智能科技公司創始人。擁有4項美國發明專利,開發了美國首款語音交互可視化智慧家庭終端,通過語音,可視...
雜志專區 更多>>

《2019第5期》

《2019第5期》

11选5每天赚200元不难