江苏龙网

  1. 首页 > 人文 > >

新华网客户端■代码“源头”安全该如何守护?,信创产业已成现象级新风口( 二 )


无论是OpenSSL“心脏出血”漏洞 , 还是Equifax数据泄露 , 都是因为开源软件出现安全问题 。 据悉 , 通过开源项目检测计划 , 奇安信代码安全团队发现开源软件的安全问题确实非常严重 。 相关数据分析和统计显示 , 开源软件的代码安全缺陷密度是14.22/KLOC , 高危安全缺陷密度为0.72/KLOC 。 换句话说 , 每1000行开源软件代码中就有14个安全缺陷 , 每1400行开源软件代码中就有1个高危安全缺陷 。
除了代码存在安全缺陷之外 , 开源软件之间由于存在关联依赖 , 加剧了开源软件的漏洞管理难度 。 “开源软件之间的依赖和调用关系非常复杂 , 其漏洞的放大作用非常显著 , 简言之 , 一个开源软件出现漏洞 , 会导致依赖它的其他开源软件受到影响 , 而且层层关联依赖 , 这就导致非常隐蔽和复杂的攻击面 。 ”黄永刚谈到 。
因此 , 对开源组件的梳理和漏洞分析 , 一定需要系统化的方法和自动化的工具 , 才能做到可管理、可持续 , 不留死角 。
代码安全为信创生态的每块“砖瓦”加固
千里之堤 , 毁于蚁穴 , 如果地基是沙土地 , 原材料隐患迭出 , 最终建成的大厦必然是“豆腐渣”工程 。 业内人士认为 , 随着信创系统开发过程中开源软件的使用越来越多 , 开源软件已经成为了软件开发的核心基础设施 , 开源软件的安全问题 , 应该上升到基础设施安全的高度来对待 。
奇安信安全专家指出 , 代码是软件的原始形态 , 软件代码是构建信创系统的基础组件 , 软件代码中安全漏洞和未声明功能(后门)的存在是安全事件频繁发生的根源 。 忽视软件代码自身的安全性 , 仅仅依靠外围的防护、问题产生后的修补等方法 , 舍本逐末 , 必然事倍功半 。 因此 , 只有通过管理和技术手段保障了软件代码自身的安全性 , 再辅以各种安全防护手段 , 才是解决当前安全问题的根本解决之道 。
据悉 , 奇安信代码卫士(简称:代码卫士)是一套静态应用程序安全测试系统 , 采用源代码静态分析技术 , 在不改变企业现有开发测试流程的前提下 , 与软件版本管理、持续集成、缺陷跟踪等系统进行集成 , 将源代码安全缺陷检测和源代码安全合规检测融入到企业开发测试流程中 , 帮助信创企业以最小代价建立代码安全保障体系并落地实施 , 构筑信息系统的“内建安全” 。
同样 , 针对开源软件应用的现状及安全风险 , 奇安信发布了开源卫士产品 。 它是一款集开源软件识别和安全管控于一体的软件成分分析系统 , 通过云端分析中心在全球范围内获取开源软件信息和漏洞情报 , 利用自主研发的开源软件分析引擎为用户提供开源软件识别、开源软件漏洞分析及开源软件漏洞情报获取等功能 , 帮助行业用户掌握信息系统中的开源组件资产和漏洞情报 , 降低由开源软件带来的安全风险 , 保障交付更安全的软件 。
新华网客户端■代码“源头”安全该如何守护?,信创产业已成现象级新风口
文章图片
奇安信为信创伙伴免费提供开源组件安全检测服务
为了给信创产业提供良好的开源环境 , 近日 , 奇安信决定为信创生态战略合作伙伴 , 免费提供开源组件安全检测服务 , 服务时间持续至5月30日 。 此举推出之后 , 很快在信创领域引发了非常好的反响 。
新基建加快信创发展代码安全需同步规划
今年3月 , 工信部发言人谢少锋对外表示 , 工信部将实施国家软件重大工程 , 集中力量解决关键软件的“卡脖子”问题 , 这意味着 , 围绕“新基建”的国产软件全面规模化应用进程将加快 , 信创产业迎来崭新的发展机遇 , 并给开源软件带来巨大的需求 。 而“奇安信代码安全”秉承自主可控的国产化基因 , 基于安全可信技术和全信创架构 , 支持主流信创的操作系统、固件、中间件、办公应用等 , 为客户提供软件源代码安全、开源组件安全、固件安全和服务四位一体的信创解决方案 。


推荐阅读


上一篇: 『北京地铁』北京地铁:措施超常超强 运行提效提质

下一篇: 产品:重庆电商扶贫获实效 14个区县农村产品网络零售额近170亿元