對(duì)話(huà)新思科技楊國(guó)梁：應(yīng)用軟件安全可能比數(shù)據(jù)安全更值得重視

極客網(wǎng)·極客訪(fǎng)談6月15日，當(dāng)前，在全球都在大力發(fā)展互聯(lián)網(wǎng)經(jīng)濟(jì)、數(shù)字經(jīng)濟(jì)的背景下，網(wǎng)絡(luò)安全快速成為了最熱門(mén)也最令人頭痛的話(huà)題。而在愈發(fā)凸顯的“軟件定義世界”、“數(shù)據(jù)驅(qū)動(dòng)未來(lái)”等發(fā)展趨勢(shì)下，應(yīng)用軟件和跑在上面的數(shù)據(jù)的安全更顯得尤為重要起來(lái)。

日前，在發(fā)布其靜態(tài)代碼分析工具最新版本——Coverity 201806的媒體溝通會(huì)上，美國(guó)新思科技公司 (Synopsys, Nasdaq: SNPS)軟件質(zhì)量與安全部門(mén)的高級(jí)安全架構(gòu)師楊國(guó)梁告訴極客網(wǎng)，“現(xiàn)在似乎大家談得較多的是數(shù)據(jù)安全，但數(shù)據(jù)不安全其實(shí)是一種結(jié)果，它的原因在于處理這些數(shù)據(jù)的應(yīng)用軟件寫(xiě)得不健壯、里面有問(wèn)題，存在被黑客利用而導(dǎo)致數(shù)據(jù)被竊取。“

言下之意，比起已經(jīng)引發(fā)高度共識(shí)的數(shù)據(jù)安全，楊國(guó)梁認(rèn)為應(yīng)用軟件的安全也值得業(yè)界警醒和重視。他表示，“Coverity專(zhuān)注的代碼層面的安全檢測(cè)，就是為了從源頭上盡量規(guī)避、解決這類(lèi)問(wèn)題，把風(fēng)險(xiǎn)問(wèn)題扼殺在to B階段，而不是等到to C推向市場(chǎng)時(shí)才發(fā)現(xiàn)?！?/p>

楊國(guó)梁提到Coverity靜態(tài)代碼分析工具，是新思科技軟件質(zhì)量與安全部門(mén)的主打產(chǎn)品之一，該工具致力于為企業(yè)的軟件開(kāi)發(fā)提供在整個(gè)SDLC（軟件開(kāi)發(fā)生命周期）過(guò)程中檢測(cè)和修復(fù)缺陷所需要的東西，從而消除風(fēng)險(xiǎn)、防患未然。Coverity在其專(zhuān)業(yè)領(lǐng)域享有高認(rèn)可度，已被權(quán)威市場(chǎng)調(diào)研機(jī)構(gòu)Gartner 和Forrester幾度評(píng)為“靜態(tài)應(yīng)用安全測(cè)試領(lǐng)導(dǎo)者”。

楊國(guó)梁解釋稱(chēng)，Coverity可以迅速分析超過(guò)一億行的大型代碼庫(kù)，在出現(xiàn)漏洞、系統(tǒng)崩潰之前就檢測(cè)出潛在危險(xiǎn)，可以大幅減少維修花銷(xiāo)，幫助企業(yè)降低成本和風(fēng)險(xiǎn)。迄今，Coverity已經(jīng)幫助上千家企業(yè)防患于未然，推動(dòng)他們更快地將產(chǎn)品投入市場(chǎng)。

楊國(guó)梁告訴極客網(wǎng)，網(wǎng)絡(luò)安全是一個(gè)快速變化的動(dòng)態(tài)市場(chǎng)，客戶(hù)需求日新月異，為了幫助用戶(hù)更有效地應(yīng)對(duì)挑戰(zhàn)，Coverity每年都會(huì)進(jìn)行兩次重大升級(jí)，以及一些小修小補(bǔ)升級(jí)。Coverity 201806是該工具的最新版本，目前已在中國(guó)與全球同步更新發(fā)布，主要帶來(lái)四個(gè)方面的升級(jí)：

第一，Coverity 201806關(guān)聯(lián)了在線(xiàn)學(xué)習(xí)平臺(tái)e-learning，方便研發(fā)人員參加相關(guān)培訓(xùn)課程，豐富工作所需知識(shí)。

第二，Coverity 201806增強(qiáng)了Spectre（幽靈） 安全漏洞檢查功能，識(shí)別易受幽靈攻擊的應(yīng)用程序代碼模式；

第三，Coverity 201806新增或更新了對(duì)行業(yè)標(biāo)準(zhǔn)的支持，包括Cert C++ 2016、MISRA C 2012 TC1:2017和OWASP Top 10 2017；

第四，新增或更新了對(duì)編碼語(yǔ)言和框架的支持，更精準(zhǔn)地識(shí)別Python、Java和Swift中漏洞。

其中，最讓極客網(wǎng)印象深刻的是第一點(diǎn)，如果說(shuō)其他三點(diǎn)還是“常規(guī)”完善，那么Coverity與e-learning的關(guān)聯(lián)則算得上重大更新。據(jù)楊國(guó)梁介紹，新思科技的eLearning平臺(tái)是一種以結(jié)果為導(dǎo)向、以學(xué)習(xí)者為中心的培訓(xùn)解決方案，其包含37種課程，廣泛覆蓋應(yīng)用安全領(lǐng)域話(huà)題，比如風(fēng)險(xiǎn)分析、認(rèn)證、安全標(biāo)準(zhǔn)、面向網(wǎng)絡(luò)和移動(dòng)應(yīng)用的防御性編程、威脅建模和安全測(cè)試策略等等。

在他看來(lái)，這一關(guān)聯(lián)至少帶來(lái)兩大好處：其一，能夠根據(jù)常見(jiàn)缺陷列表（CWEs，安全漏洞詞典）為開(kāi)發(fā)人員提供上下文相關(guān)的應(yīng)用安全課程；其二，基于最高置信水平算法，專(zhuān)有漏洞分析工具可以將檢測(cè)出來(lái)的漏洞與常見(jiàn)缺陷列表進(jìn)行匹配，進(jìn)而推薦相關(guān)的學(xué)習(xí)內(nèi)容。套用時(shí)髦話(huà)術(shù)，極客網(wǎng)認(rèn)為這有點(diǎn)智能推薦、精準(zhǔn)匹配的意思，再往后發(fā)展就是深度學(xué)習(xí)、人工智能，不排除發(fā)展到某一天實(shí)現(xiàn)更高效、直接的問(wèn)題解決方案——比如說(shuō)直接呈現(xiàn)可供選擇的參考答案或解決思路。

面向未來(lái)，新思科技的Coverity工具究竟會(huì)不會(huì)進(jìn)化到深度學(xué)習(xí)后自動(dòng)解決問(wèn)題的階段呢？工程師的嚴(yán)謹(jǐn)讓楊國(guó)梁對(duì)此“諱莫如深”，但透露新思科技近幾年的總體研發(fā)支出水平占到公司營(yíng)收的30%，未來(lái)將持續(xù)投入技術(shù)創(chuàng)新，應(yīng)對(duì)日趨復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，護(hù)航企業(yè)應(yīng)用軟件的安全之旅。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。