新思科技亮相2019第二屆世界物聯(lián)網(wǎng)安全峰會(huì) 打開物聯(lián)網(wǎng)內(nèi)置安全新思路
原創(chuàng)【51CTO.com原創(chuàng)稿件】日前,2019第二屆世界物聯(lián)網(wǎng)安全峰會(huì)在北京成功召開。本屆峰會(huì)以“亮劍安全,賦能物聯(lián)新時(shí)代”為主題,邀請了300多位物聯(lián)網(wǎng)行業(yè)專家、企業(yè)高層以及研究人員,共同分析未來物聯(lián)網(wǎng)安全的市場趨勢,并探討其未來發(fā)展方向。新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國梁也受邀參會(huì),并在大會(huì)現(xiàn)場帶來“Build Security In IOT”的主題演講。楊國梁指出,設(shè)計(jì)缺陷、安全漏洞和弱密碼等是造成物聯(lián)網(wǎng)威脅的主要因素,物聯(lián)網(wǎng)行業(yè)需要重視開源代碼的安全使用。“企業(yè)應(yīng)該積極主動(dòng)地去進(jìn)行開源管理,從一開始就將安全內(nèi)置在物聯(lián)網(wǎng)中。”
楊國梁的演講給物聯(lián)網(wǎng)安全帶來了新的解題思路,他呼吁人們重視起過去容易忽略的開源代碼安全,在現(xiàn)場贏得很多聽眾的認(rèn)可和掌聲。會(huì)議間隙,51CTO記者采訪了楊國梁,請他分享新思科技在物聯(lián)網(wǎng)安全領(lǐng)域的思考與判斷。
將安全內(nèi)置到物聯(lián)網(wǎng)
記者了解到,新思科技成立于1986年,至今已有30多年歷史,自2014年起,新思科技收購了一系列做軟件安全的公司,開始針對企業(yè)級(jí)市場提供研發(fā)階段的安全測試服務(wù)。這其中既包括提供安全測試工具,開源組件的治理工具,也提供白盒、代碼審計(jì)、自動(dòng)化之類的工具,還可以滿足客戶咨詢,提供滲透測試服務(wù)、托管測試服務(wù),以及安全成熟度的評(píng)估等,總之都是為了一個(gè)共同的目標(biāo),就是幫助客戶更快更安全進(jìn)行軟件創(chuàng)新。
之所以聚焦物聯(lián)網(wǎng)安全,是因?yàn)樾滤伎萍伎吹搅宋锫?lián)網(wǎng)潛在的龐大安全需求。楊國梁告訴記者,物聯(lián)網(wǎng)需要無數(shù)的軟件來支撐。但是開發(fā)人員往往更關(guān)注他們創(chuàng)建的軟件代碼,而忽略了使用的開源代碼,導(dǎo)致黑客有機(jī)可乘。不久前,黑客竊取了分析服務(wù)Picreel和開源項(xiàng)目Alpaca Forms的數(shù)據(jù),并修改了它們的JavaScript文件,進(jìn)而在超過4,600個(gè)網(wǎng)站上嵌入惡意代碼,這正是忽略開源代碼安全的典型例子。
“未修補(bǔ)的軟件漏洞是企業(yè)面臨的最大網(wǎng)絡(luò)威脅之一,軟件中未修補(bǔ)的開源組件會(huì)增加安全風(fēng)險(xiǎn)。”他告訴記者,在2018年審計(jì)的代碼庫中,有60%至少含有一個(gè)漏洞,雖然比例不低,但卻遠(yuǎn)遠(yuǎn)好于2017年的78%。
那么為什么會(huì)提出要“內(nèi)置安全”這樣的理念呢?楊國梁解釋道,安全和性能其實(shí)在某種程度是博弈的狀態(tài),在物聯(lián)網(wǎng)高速發(fā)展的大趨勢下,很少有廠商愿意為了安全在功能或性能上做讓步。但是傳統(tǒng)的安全防護(hù)工具如防火墻、入侵檢測,大多都是做邊界防護(hù)安全,并不能很好地適用于無邊界或者邊界日趨模糊的物聯(lián)網(wǎng)應(yīng)用環(huán)境,所以最好的方法就是在產(chǎn)品研發(fā)階段,從寫源代碼開始,就做得足夠健壯,減少對外界防護(hù)工具的依賴。如此一來,既提升了安全防護(hù)水平,又不會(huì)犧牲產(chǎn)品性能,導(dǎo)致未來一旦遭遇安全威脅,只能亡羊補(bǔ)牢事后補(bǔ)救。
其實(shí)在開源代碼階段就介入安全還有一個(gè)好處。眾所周知,物聯(lián)網(wǎng)是一個(gè)非常龐大的領(lǐng)域,各行各業(yè)的產(chǎn)品形態(tài)都不盡相同,如果是生成產(chǎn)品后再部署安全解決方案,那么解決方案必須要匹配各個(gè)行業(yè)屬性,做定制開發(fā)。但是做開源代碼安全就不同了,它是從整個(gè)開發(fā)流程角度實(shí)現(xiàn)安全,無論是設(shè)備端的開發(fā),還是后端的開發(fā),無非總是遵循設(shè)計(jì)、研發(fā)、測試、發(fā)布這樣的一個(gè)流程,新思科技只要針對這些流程的每一個(gè)環(huán)節(jié),提供自動(dòng)化的測試工具,就可以實(shí)現(xiàn)高水準(zhǔn)的安全質(zhì)量,可以說是覆蓋所有行業(yè)安全需求,更易用更便捷更專業(yè)了。
同是代碼安全,新思科技出眾之處在哪?
其實(shí)國內(nèi)做代碼安全的公司并不在少數(shù),為什么新思科技的代碼安全更讓客戶放心呢?對此楊國梁總結(jié)了兩點(diǎn)。
首先,新思科技提供的是自動(dòng)化的檢測工具,企業(yè)不需要去依賴于廠商某一個(gè)能力突出的專家,對廠商人員的依賴很小,代碼輸出質(zhì)量是很穩(wěn)定的,服務(wù)更值得信賴。
其次,從流程來看,很多提供代碼安全檢測的公司往往是在產(chǎn)品開發(fā)工作結(jié)束之后,才開始介入做代碼檢測和修復(fù)。一旦發(fā)現(xiàn)漏洞,就需要溯源查找研發(fā)各個(gè)環(huán)節(jié),找到修復(fù)之后再做回歸測試,驗(yàn)證流程再走一遍,檢測周期非常長。但是新思科技卻不同,他提供的是一個(gè)自動(dòng)化工具,開發(fā)人員可以在任何時(shí)間任意模塊開發(fā)工作告一段落時(shí)來進(jìn)行檢查,一旦發(fā)現(xiàn)有嚴(yán)重安全問題,就可以及時(shí)修正,時(shí)效性大大提升。
當(dāng)談到目前國內(nèi)客戶的接受程度時(shí),他告訴記者,像高科技、物聯(lián)網(wǎng)、設(shè)備商、互聯(lián)網(wǎng)等行業(yè)市場的前沿客戶和第一梯隊(duì)的客戶接受程度非常高,大家基本都達(dá)成共識(shí),從代碼開發(fā)這個(gè)源頭就開始注重安全防護(hù)能力。
采訪最后,針對峰會(huì)現(xiàn)場眾人都很關(guān)注的物聯(lián)網(wǎng)安全落地建設(shè)的關(guān)鍵,楊國梁強(qiáng)調(diào),“重視”二字尤為重要。為什么人們駕駛汽車都會(huì)系上安全帶?就是因?yàn)槿藗円庾R(shí)到安全的重要性,物聯(lián)網(wǎng)安全領(lǐng)域也同樣如此,安全專業(yè)人員要意識(shí)到安全的重要性,引起足夠重視,否則僅僅考慮如何解決安全難題,也不會(huì)取得太顯著的效果。
【51CTO原創(chuàng)稿件,合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】
