對話新思科技楊國梁:應(yīng)用軟件安全可能比數(shù)據(jù)安全更值得重視

極客網(wǎng)·極客訪談6月15日,當前,在全球都在大力發(fā)展互聯(lián)網(wǎng)經(jīng)濟、數(shù)字經(jīng)濟的背景下,網(wǎng)絡(luò)安全快速成為了最熱門也最令人頭痛的話題。而在愈發(fā)凸顯的“軟件定義世界”、“數(shù)據(jù)驅(qū)動未來”等發(fā)展趨勢下,應(yīng)用軟件和跑在上面的數(shù)據(jù)的安全更顯得尤為重要起來。

日前,在發(fā)布其靜態(tài)代碼分析工具最新版本——Coverity 201806的媒體溝通會上,美國新思科技公司 (Synopsys, Nasdaq: SNPS)軟件質(zhì)量與安全部門的高級安全架構(gòu)師楊國梁告訴極客網(wǎng),“現(xiàn)在似乎大家談得較多的是數(shù)據(jù)安全,但數(shù)據(jù)不安全其實是一種結(jié)果,它的原因在于處理這些數(shù)據(jù)的應(yīng)用軟件寫得不健壯、里面有問題,存在被黑客利用而導致數(shù)據(jù)被竊取?!?/p>

對話新思科技楊國梁:應(yīng)用軟件安全可能比數(shù)據(jù)安全更值得重視.jpg

言下之意,比起已經(jīng)引發(fā)高度共識的數(shù)據(jù)安全,楊國梁認為應(yīng)用軟件的安全也值得業(yè)界警醒和重視。他表示,“Coverity專注的代碼層面的安全檢測,就是為了從源頭上盡量規(guī)避、解決這類問題,把風險問題扼殺在to B階段,而不是等到to C推向市場時才發(fā)現(xiàn)?!?/p>

楊國梁提到Coverity靜態(tài)代碼分析工具,是新思科技軟件質(zhì)量與安全部門的主打產(chǎn)品之一,該工具致力于為企業(yè)的軟件開發(fā)提供在整個SDLC(軟件開發(fā)生命周期)過程中檢測和修復(fù)缺陷所需要的東西,從而消除風險、防患未然。Coverity在其專業(yè)領(lǐng)域享有高認可度,已被權(quán)威市場調(diào)研機構(gòu)Gartner 和Forrester幾度評為“靜態(tài)應(yīng)用安全測試領(lǐng)導者”。

楊國梁解釋稱,Coverity可以迅速分析超過一億行的大型代碼庫,在出現(xiàn)漏洞、系統(tǒng)崩潰之前就檢測出潛在危險,可以大幅減少維修花銷,幫助企業(yè)降低成本和風險。迄今,Coverity已經(jīng)幫助上千家企業(yè)防患于未然,推動他們更快地將產(chǎn)品投入市場。

楊國梁告訴極客網(wǎng),網(wǎng)絡(luò)安全是一個快速變化的動態(tài)市場,客戶需求日新月異,為了幫助用戶更有效地應(yīng)對挑戰(zhàn),Coverity每年都會進行兩次重大升級,以及一些小修小補升級。Coverity 201806是該工具的最新版本,目前已在中國與全球同步更新發(fā)布,主要帶來四個方面的升級:

第一,Coverity 201806關(guān)聯(lián)了在線學習平臺e-learning,方便研發(fā)人員參加相關(guān)培訓課程,豐富工作所需知識。

第二,Coverity 201806增強了Spectre(幽靈) 安全漏洞檢查功能,識別易受幽靈攻擊的應(yīng)用程序代碼模式;

第三,Coverity 201806新增或更新了對行業(yè)標準的支持,包括Cert C++ 2016、MISRA C 2012 TC1:2017和OWASP Top 10 2017;

第四,新增或更新了對編碼語言和框架的支持,更精準地識別Python、Java和Swift中漏洞。

其中,最讓極客網(wǎng)印象深刻的是第一點,如果說其他三點還是“常規(guī)”完善,那么Coverity與e-learning的關(guān)聯(lián)則算得上重大更新。據(jù)楊國梁介紹,新思科技的eLearning平臺是一種以結(jié)果為導向、以學習者為中心的培訓解決方案,其包含37種課程,廣泛覆蓋應(yīng)用安全領(lǐng)域話題,比如風險分析、認證、安全標準、面向網(wǎng)絡(luò)和移動應(yīng)用的防御性編程、威脅建模和安全測試策略等等。

在他看來,這一關(guān)聯(lián)至少帶來兩大好處:其一,能夠根據(jù)常見缺陷列表(CWEs,安全漏洞詞典)為開發(fā)人員提供上下文相關(guān)的應(yīng)用安全課程;其二,基于最高置信水平算法,專有漏洞分析工具可以將檢測出來的漏洞與常見缺陷列表進行匹配,進而推薦相關(guān)的學習內(nèi)容。套用時髦話術(shù),極客網(wǎng)認為這有點智能推薦、精準匹配的意思,再往后發(fā)展就是深度學習、人工智能,不排除發(fā)展到某一天實現(xiàn)更高效、直接的問題解決方案——比如說直接呈現(xiàn)可供選擇的參考答案或解決思路。

面向未來,新思科技的Coverity工具究竟會不會進化到深度學習后自動解決問題的階段呢?工程師的嚴謹讓楊國梁對此“諱莫如深”,但透露新思科技近幾年的總體研發(fā)支出水平占到公司營收的30%,未來將持續(xù)投入技術(shù)創(chuàng)新,應(yīng)對日趨復(fù)雜的網(wǎng)絡(luò)安全環(huán)境,護航企業(yè)應(yīng)用軟件的安全之旅。

極客網(wǎng)企業(yè)會員

免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2018-06-15
對話新思科技楊國梁:應(yīng)用軟件安全可能比數(shù)據(jù)安全更值得重視
日前,在發(fā)布其靜態(tài)代碼分析工具最新版本——Coverity 201806的媒體溝通會上,美國新思科技公司 (Synopsys, Nasdaq: SNPS)軟件質(zhì)量與安全部門的高級安全架構(gòu)師楊國梁告訴極客網(wǎng),“現(xiàn)在似乎大家談得較多的是數(shù)據(jù)安全,但其實數(shù)據(jù)不安全其實是一種結(jié)果,它的原因在于處理這些數(shù)據(jù)的應(yīng)用軟件寫得不健壯、里面有問題,存在被黑客利用而導致數(shù)據(jù)被竊取?!?/div>

長按掃碼 閱讀全文