新思科技:企業(yè)如何發(fā)布符合嚴格標準、高質(zhì)、安全的軟件
軟件,不管是由誰構(gòu)建的,都很容易受到漏洞攻擊,隨著我們的世界越來越依賴數(shù)字化,更多的軟件被編寫,更多的漏洞也將會出現(xiàn)?,F(xiàn)在,開源可以說是構(gòu)建軟件應(yīng)用的基礎(chǔ)。如果沒有有效的方法來跟蹤和管理開源,企業(yè)將面臨使用開源所帶來的安全、許可證合規(guī)性和代碼質(zhì)量風險。
本文引用地址:http://butianyuan.cn/article/202008/417533.htm自2005年起,NVD漏洞數(shù)據(jù)庫每年都報告4,000 ~ 8,000個新漏洞,但是這一數(shù)字在2017年激增至14,645,2018年增至16,511,2019年則增至17,306。
盡管開源軟件的漏洞少于專有軟件,但是開源安全問題不容忽視。新思科技公司發(fā)布的《2020年開源安全和風險分析》報告(OSSRA)發(fā)現(xiàn)經(jīng)過審計的代碼庫中,75%包含具有已知安全漏洞的開源組件,將近一半(49%)的代碼庫包含高風險漏洞,而且91%的代碼庫包含已經(jīng)過期四年以上或者近兩年沒有開發(fā)活動的組件。OSSRA報告由新思科技網(wǎng)絡(luò)安全研究中心(CyRC)制作,研究了由Black Duck審計服務(wù)團隊執(zhí)行的對超過1,250個商業(yè)代碼庫的審計結(jié)果。
雖然開源是免費的,并且有許多優(yōu)點,但仍需遵循許可證要求。如果企業(yè)有意或者無意地違反所使用組件的許可證要求,則可能會失去其專有代碼的權(quán)利或者使IP所有權(quán)面臨風險。盡管并非所有的漏洞都將帶來災(zāi)難性的問題,但它們使企業(yè)面臨一系列已知的風險:金融盜竊、企業(yè)間諜活動、勒索軟件、客戶敏感數(shù)據(jù)的泄露和潛在的人身安全威脅等。
凱易訊(Calix)所面臨的風險就是一個例子。Calix是一家領(lǐng)先的云和軟件平臺、系統(tǒng)和服務(wù)的供應(yīng)商,它在亞太地區(qū)包括中國和澳大利亞都有業(yè)務(wù),其中一個海外研發(fā)中心位于中國南京軟件谷。該公司的年營業(yè)額達到4.8億美元,為全球超過1,400家通訊服務(wù)供應(yīng)商提供服務(wù)。Calix建立和管理由定制、商業(yè)和開源代碼組成的軟件,這些軟件包含數(shù)千萬行的代碼。然而,它所面臨的挑戰(zhàn)是如何發(fā)布符合嚴格標準、高質(zhì)量、安全的軟件。
Calix產(chǎn)品工程服務(wù)工程總監(jiān)Vivek Singh表示:“與絕大多數(shù)科技公司一樣,Calix深刻意識到這些風險,但我們的安全團隊也知道手動分析代碼庫既耗時又昂貴。尤其是對于新興的系統(tǒng),我們可以手動做很多事情,但是花費會很高。盡管公司之前一直在使用開源掃描工具,但更新非常慢,并沒有跟上新發(fā)現(xiàn)和報告的漏洞信息的速度?!?/p>
如何解決這些問題?
預(yù)防往往優(yōu)于事后補救。預(yù)防軟件漏洞始于從軟件開發(fā)生命周期早期識別漏洞。這不僅可以在開發(fā)過程結(jié)束時交付更安全的產(chǎn)品,同時也將節(jié)約時間和成本。
開發(fā)軟件的時候,每一步都存在潛在的安全問題。由于預(yù)算和時間的限制,安全通常被排在軟件開發(fā)流程的最后階段。其實,在軟件開發(fā)之初就應(yīng)該考慮安全性,并且需要為開發(fā)過程準備好正確的測試工具,方便開發(fā)人員可以在最小的干擾下整合軟件安全管理。這意味著開發(fā)團隊可以更好地管理他們的時間,并且使軟件開發(fā)變得更加容易,安全性也更高。
Vivek Singh表示Calix已經(jīng)使用Coverity靜態(tài)分析超過五年了,并且于大約兩年前也采用了Black Duck軟件組成分析和Defensics模糊測試。
Coverity是一種靜態(tài)應(yīng)用安全測試解決方案(SAST),提供精準的、可操作的補救建議,以及針對特定情景的eLearning在線學習,幫助開發(fā)人員快速修復(fù)缺陷。它還可以通過自動化測試無縫集成到CI/CD管道,以保持開發(fā)速度。
Black Duck是一種提供全面的軟件組成分析(SCA)解決方案,用于管理由于在應(yīng)用程序和容器中使用開源而產(chǎn)生的安全性、許可證合規(guī)性和代碼質(zhì)量風險。
Defensics是一種自動化的黑盒模糊測試,使得組織可以高效并有效地發(fā)現(xiàn)和修補軟件中的安全漏洞。
Vivek Singh指出:“一旦為下一個版本開發(fā)了新的開發(fā)流程,所有的這些過程,Coverity、Black Duck和Defensics(觸及我們代碼庫的所有相關(guān)的掃描過程),都將自動在Bamboo CI引擎中進行設(shè)置。這是我們?nèi)粘9ぷ鞯囊徊糠?。當?gòu)建的時候(開發(fā)人員簽入代碼),我們有一個集中的主線代碼存儲庫,并且該過程從第一天便開始。所有的報告都是實時并且是最新的。這些都很少涉及手動操作。”
Vivek Singh介紹道:“Coverity解決了所有的靜態(tài)分析問題,并且提供了一個集中數(shù)據(jù)庫。它具有出色的報告系統(tǒng),對于從程序經(jīng)理到產(chǎn)品經(jīng)理再到開發(fā)經(jīng)理,任何人都能夠在一個單一的平臺管理所有的事情,這非常關(guān)鍵。盡管在當今市場上有許多靜態(tài)分析工具,但我想說Coverity無疑是同類產(chǎn)品中出類拔萃的?!?/p>
當提到Black Duck軟件組成分析, Vivek Singh表示這是三連勝:更快、更好和更實惠,并稱贊道“它使用起來超級簡單,并且在自動化方面,Black Duck與之前的工具相比有巨大的提升。它有許多非常清晰的報告,使我們清楚地了解到哪些地方需要重點關(guān)注,因此我們不需要一位高級架構(gòu)師來嘗試解碼整個報告并找出在我們代碼庫中的問題?!?/p>
Vivek Singh說:“Defensics已經(jīng)成為Calix軟件測試套件的一部分,因為我們不斷向市場推出新的產(chǎn)品,當我們涉足網(wǎng)絡(luò)行業(yè)的新的領(lǐng)域時,安全性則是首要考慮因素。我們之所以會引入它,并不僅僅因為我們所面臨的挑戰(zhàn),還因為我們的新產(chǎn)品,我們正開發(fā)的新的軟件在這個領(lǐng)域是非常廣泛的,我們必須研究模糊測試協(xié)議掃描和類似的東西?!?/p>
他說最重要的是可以更快地、更好地交付軟件安全性。他還表示:“我們點擊一個按鈕即可設(shè)置CI計劃,它可以從Black Duck、Defensics、 Coverity和我們的其它安全分析工具提取所有內(nèi)容,并且它們可以自動插入并生成報告和掃描,如果一個漏洞需要被修復(fù),會立即進入我們的漏洞管理系統(tǒng)?!?/p>
現(xiàn)在,幾乎每家從事商業(yè)活動的公司,無論銷售什么產(chǎn)品,都會使用到軟件,并且很容易受到漏洞攻擊。在精簡的流程和更短的時間內(nèi)有效提高開發(fā)的軟件的安全性和質(zhì)量,是公司在數(shù)字時代激烈競爭環(huán)境中所需要的核心優(yōu)勢。
評論