江苏龙网

  1. 首页 > 人文 > >

电子工程世界新思科技:发布高质、安全的软件,企业需要解决这些问题

【电子工程世界新思科技:发布高质、安全的软件,企业需要解决这些问题】
软件 , 不管是由谁构建的 , 都很容易受到漏洞攻击 , 随着我们的世界越来越依赖数字化 , 更多的软件被编写 , 更多的漏洞也将会出现 。 现在 , 开源可以说是构建软件应用的基础 。 如果没有有效的方法来跟踪和管理开源 , 企业将面临使用开源所带来的安全、许可证合规性和代码质量风险 。
自2005年起 , NVD漏洞数据库每年都报告4,000 ~ 8,000个新漏洞 , 但是这一数字在2017年激增至14,645 , 2018年增至16,511 , 2019年则增至17,306 。
尽管开源软件的漏洞少于专有软件 , 但是开源安全问题不容忽视 。 新思科技公司发布的《2020年开源安全和风险分析》报告(OSSRA)发现经过审计的代码库中 , 75%包含具有已知安全漏洞的开源组件 , 将近一半(49%)的代码库包含高风险漏洞 , 而且91%的代码库包含已经过期四年以上或者近两年没有开发活动的组件 。 OSSRA报告由新思科技网络安全研究中心(CyRC)制作 , 研究了由Black Duck审计服务团队执行的对超过1,250个商业代码库的审计结果 。
虽然开源是免费的 , 并且有许多优点 , 但仍需遵循许可证要求 。 如果企业有意或者无意地违反所使用组件的许可证要求 , 则可能会失去其专有代码的权利或者使IP所有权面临风险 。 尽管并非所有的漏洞都将带来灾难性的问题 , 但它们使企业面临一系列已知的风险:金融盗窃、企业间谍活动、勒索软件、客户敏感数据的泄露和潜在的人身安全威胁等 。
凯易讯(Calix)所面临的风险就是一个例子 。 Calix是一家领先的云和软件平台、系统和服务的供应商 , 它在亚太地区包括中国和澳大利亚都有业务 , 其中一个海外研发中心位于中国南京软件谷 。 该公司的年营业额达到4.8亿美元 , 为全球超过1,400家通讯服务供应商提供服务 。 Calix建立和管理由定制、商业和开源代码组成的软件 , 这些软件包含数千万行的代码 。 然而 , 它所面临的挑战是如何发布符合严格标准、高质量、安全的软件 。
Calix产品工程服务工程总监Vivek Singh表示:“与绝大多数科技公司一样 , Calix深刻意识到这些风险 , 但我们的安全团队也知道手动分析代码库既耗时又昂贵 。 尤其是对于新兴的系统 , 我们可以手动做很多事情 , 但是花费会很高 。 尽管公司之前一直在使用开源扫描工具 , 但更新非常慢 , 并没有跟上新发现和报告的漏洞信息的速度 。 ”
如何解决这些问题?
预防往往优于事后补救 。 预防软件漏洞始于从软件开发生命周期早期识别漏洞 。 这不仅可以在开发过程结束时交付更安全的产品 , 同时也将节约时间和成本 。
开发软件的时候 , 每一步都存在潜在的安全问题 。 由于预算和时间的限制 , 安全通常被排在软件开发流程的最后阶段 。 其实 , 在软件开发之初就应该考虑安全性 , 并且需要为开发过程准备好正确的测试工具 , 方便开发人员可以在最小的干扰下整合软件安全管理 。 这意味着开发团队可以更好地管理他们的时间 , 并且使软件开发变得更加容易 , 安全性也更高 。
Vivek Singh表示Calix已经使用Coverity静态分析超过五年了 , 并且于大约两年前也采用了Black Duck软件组成分析和Defensics模糊测试 。
Coverity是一种静态应用安全测试解决方案(SAST) , 提供精准的、可操作的补救建议 , 以及针对特定情景的eLearning在线学习 , 帮助开发人员快速修复缺陷 。 它还可以通过自动化测试无缝集成到CI/CD管道 , 以保持开发速度 。
Black Duck是一种提供全面的软件组成分析(SCA)解决方案 , 用于管理由于在应用程序和容器中使用开源而产生的安全性、许可证合规性和代码质量风险 。
Defensics是一种自动化的黑盒模糊测试 , 使得组织可以高效并有效地发现和修补软件中的安全漏洞 。


推荐阅读


上一篇:手机使用技巧干货!手机保养的几个小技巧,让手机多用几年~

下一篇:小米手机小米10 至尊纪念版,到底至尊在哪?