6月5日，南山深圳灣，華為云舉行了6月的首場安全技術私享會，分享了華為云DDoS高防服務、等保解讀、Web應用防火墻、數據庫安全服務等多項服務和技術。作為現場最大的亮點，華為云安全專家宣布了漏洞掃描服務的全面升級，置入華為軟件開發(fā)云，讓開發(fā)者從代碼開發(fā)到部署上線，全生命周期自動進行安全檢測，發(fā)現潛在安全問題，釋放企業(yè)安全負擔。

[[231911]]

華為云安全專家在現場發(fā)表演講

無法消除的軟件漏洞

2018年2月，中國民營企業(yè)500強TOP20的某公司互聯網業(yè)務系統遭黑客攻擊，致重要數據泄漏。該公司在安全方面投入了巨額資金和人力，但還是因其使用的某ERP軟件存在一個漏洞，被黑客利用，導致了上述安全事件?；仡櫄v史，這個事件還只是冰山一角，事實上還有更多的黑客活動沒有被暴露出來。

安全漏洞是一個永恒的話題，數量多、分布廣、滅而不絕，并且可能隨時爆發(fā)，下圖是國家計算機網絡應急技術處理協調中心公布的2017年CNVD收錄的安全漏洞數據。

所有軟件都有漏洞，漏洞覆蓋了從軟件的開發(fā)階段到生命周期結束的整個過程，就像一個嬰兒從出生開始，就面臨各種各樣的疾病威脅。

盡管各軟件公司的開發(fā)人員在消除漏洞方面都非常努力，但還是不能完全消除漏洞，包括微軟等大公司也一樣無法避免。

如何應對漏洞帶來的安全風險呢？

對于安全漏洞，不得不承認3點：

1）所有軟件和系統在它的生命周期內都存在漏洞；

2）沒有受到攻擊并不是因為你的系統很安全，而是你的數據沒有被黑客“盯上”；

3）數據顯示有44%的攻擊是基于已知漏洞（受害者往往沒有及時打補丁和防御措施）；

如何應對？每個人都有自己的一套辦法：

“不是不想修復所有漏洞，關鍵是解決問題的代價/花費太大，我們（企業(yè)）根本無法承擔。”

“我的數據不重要，沒人會注意到我。”

“我們企業(yè)是內網，沒那么多威脅，漏洞帶來的風險影響有限。”

“安全技術薄弱，不會使用這么專業(yè)的安全設備。”

.…...

總結起來，就是所有人都認可漏洞帶來的巨大風險，也沒有不想修復漏洞的，但現實卻是“無奈”的，更多人（企業(yè)）往往是破罐子破摔，放任自流。

但只要我們能正視這個問題，并積極的采取適當的防御方法，就可以在很大程度上緩解漏洞帶來的風險，而且這個過程或許并沒有相像的那么難，花費也沒有那么多。

發(fā)現問題才能解決問題

為了讓開發(fā)者能夠自動化地發(fā)現軟件和系統中可能存在的安全漏洞，華為云發(fā)布了全新升級后的漏洞掃描服務，覆蓋從代碼開發(fā)到上線部署的全生命周期：

1、軟件開發(fā)階段

越早期解決漏洞的成本越低，最佳處理階段就是在代碼的開發(fā)階段，漏洞發(fā)現的“性價比”是要體現軟件/系統的整個生命周期。為此，華為云漏洞掃描提供了覆蓋編碼、測試、部署、運營、運維等各個階段的漏洞檢測服務。編碼和測試階段是發(fā)現并消滅漏洞的最佳時期，可以減少50%以上的嚴重漏洞。

華為云漏洞掃描全面升級，置入華為軟件開發(fā)云

2、軟件上線運營階段

在軟件驗收、運營和運維階段，提供自動化的安全巡檢、上線評測等服務，盡可能多的發(fā)現漏洞：

1）功能全，可以發(fā)現編碼、Web、主機、數據庫、中間件、業(yè)務系統等多種漏洞，能一站式的發(fā)現全部漏洞；

2）掃描范圍廣，不受公/私網IP限制；

3）部署簡便，使用便捷；

實際操作中，一次性解決所有安全問題不現實，建議先用最少的投入解決最大風險，其它風險可以放在監(jiān)控之中，折機而動。

華為云安全專家表示，華為漏洞掃描服務全面置入軟件開發(fā)云，讓開發(fā)者告別手工查找漏洞，讓運維者告別線上漏洞巡查的繁瑣，降低了企業(yè)的開發(fā)運維和運維成本。未來，華為云還將推出更多優(yōu)質的安全服務和平臺，幫助企業(yè)從復雜和高成本的安全活動中解脫出來。點擊了解華為云安全服務：https://www.huaweicloud.com/