全国统一热线:

400-123-4567

澳门百老汇

news

百老汇平台

人才招聘

   人才管理 人才管理从战略和组织发展需求出发,围绕人才队伍建设,针对不同人才群体形成差异化的管理系统,构成人才标准、规划、选拔、培养、使用和保留的管理闭环。 推动关键岗位员工进行多岗位、跨职能、跨行业历练,...
点击查看更多

新思科技杨国梁:安全贯穿始终,物联网需要强

2019-06-14 00:19

报告显示开源软件的使用本身并不是问题,实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险,可能极具破坏性。虽然风险因素仍然存在,2019年OSSRA报告数据表明,在Equifax数据泄露之后,开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展: 企业在管理开源安全漏洞方面正渐入佳境。2018年审计的代码库中有60%包含至少一个漏洞,相比2017年的78%已经改善不少。总体而言,开源许可证合规性也得到了改善。2018年审计的代码库中有68%包含有许可证冲突的组件,2017年则为74%。

安全融入SDLC

2019年OSSRA报告中最值得注意的开源风险趋势包括: 开源采用率大幅提升。2018年审计的代码库中96%包含开源组件,每个代码库中平均有298个开源组件,2017年则为257个;开源许可证冲突可能会使知识产权面临风险。68%的代码库包含某种形式的开源许可证冲突,38%的代码库包含没有可识别许可证的开源组件;“废弃”组件的使用很常见。85%的代码库包含过去四年以上老式的组件或者过去两年没有开发的组件。如果一个组件处于非活跃状态或者无人维护,也就意味着没有人正在处理其潜在的漏洞;许多组织未能修补或更新其开源组件。2018年黑鸭审计中确定的漏洞的平均年龄是6.6年,略高于2017年 。这表明补救措施没有显著改善。2018年扫描的代码库中有43%包含超过十年以上的漏洞。国家漏洞数据库(National Vulnerability Database)显示2018年增加了16500个新漏洞,其明确的修补流程需要扩展以适应增加的披露的漏洞;并非所有的漏洞都相同,但许多企业甚至没有解决那些风险最高的漏洞。超过40%的代码库包含至少一个高风险开源漏洞。

杨国梁告诉记者,如果要研发出高质量、安全可靠的软件,新思科技推荐把安全深度融入到整个软件开发生命周期(SDLC)。对于应用场景而言,新思科技更多从整个开发流程入手,在需求、设计、研发、测试、发布等流程中融入自动化的手段确保软件质量和安全。

为了达到这样的目标,新思科技推出Polaris软件完整性平台将新思科技软件质量与安全的产品和服务的强大功能整合到一个集成解决方案中,帮助安全和开发团队更快地构建安全、优质的软件;新思科技Seeker交互式应用安全测试(IAST)解决方案支持DevSecOps及持续交付安全的Web应用程序;新思科技Coverity静态应用安全测试(SAST)解决方案帮助各类机构更快地构建安全的应用程序,Coverity解决了企业应用安全开发团队日益增长的三大需求:可扩展性、多种编程语言和框架支持,以及全面的漏洞分析;新思科技黑鸭软件组成分析(SCA)解决方案提供全面的软件组成分析解决方案,用于管理在应用程序和容器中使用开源和第三方代码所带来的安全性、质量和许可合规性风险。黑鸭SCA是唯一能够跨源代码、二进制文件、代码段、软件包和容器识别开源的解决方案。

杨国梁说,新思科技在应用安全测试领域具有独特的优势,能够把最新实践改编和应用到各种新技术和新趋势之中,例如物联网、DevOps、CI/CD和云计算等。测试结束时,还提供上线和部署协助、有针对性的补救指导以及各种培训解决方案。

新思科技杨国梁:安全贯穿始终,物联网需要强化开源管理

新思科技定义软件完整性是软件质量和软件安全,这两个都做到了就完整了。所以,对于软件开发的企业来说,软件质量和安全性是一定要达到的目标,并且这是一项旅程,是持续的过程。在这个过程中,工具作为向导,可以帮助企业提前检测和解决质量和安全问题。

杨国梁说,在物联网中使用开源技术,一个是安全漏洞问题,如果有新的安全漏洞出现,这个安全漏洞影响我的产品,我是否有预案?一个是许可证问题,许可证是不是合规合法使用?合规问题一定要贯穿到整个研发的体系里面。“那怎么能正确地执行IoT安全方案?重视。大家注意到这些问题,意识到重要性,所以会要求有所改变。”

针对目前的物联网安全问题,杨国梁指出:“设计缺陷、安全漏洞和弱密码等是造成物联网威胁的主要因素。同时,物联网行业也需要重视开源代码的安全使用。当然,我们不是说企业应该停止使用开源,而是应该积极主动地去进行开源管理,从一开始就将安全内置在物联网中。”

如何防止物联网黑客攻击?在软件发布之前就要确保其安全。新思科技认为这并不难。随着越来越多的专业人士加入物联网行业,进行安全测试的设备的比率正在上升。而且安全测试工具也越来越精细。为了解决物联网的安全问题,新思科技提供了一整套的贯穿物联网生命周期的安全工具,从需求设计到研发测试、交付运维等全面保障物联网安全,这包括Polaris、Seeker、Coverity、Black Duck等一整套解决方案。

物联网需要无数的软件来支撑。但是开发人员往往更关注他们创建的软件代码,而忽略了使用的开源代码,导致黑客有机可乘。例如,不久前,黑客窃取了分析服务Picreel和开源项目Alpaca Forms的数据,并修改了它们的JavaScript文件,进而在超过4600个网站上嵌入恶意代码。

全国统一热线

400-123-4567
+地址:广东省广州市天河区88号
+传真:+86-123-4567
+邮箱:admin@baidu.com

友情链接

微信平台

微信平台

手机官网

手机官网