安全 已评论

还在事后修补软件Bug?新思科技有一个忠告给你

2017-12-7 18:40    Yesky软件频道

  【天极网软件频道】就像世界上没有十全十美的人一样,“人”写出来的软件也不一定是完美的,这些瑕疵和不完美,叫做软件缺陷,俗称“BUG”。

  一个小的软件缺陷能引发多大的问题,看看这些新闻就知道了:

还在事后修补软件Bug?新思科技有一个忠告给你

  你的隐私?不存在的

  我们每天频繁使用某宝某信等APP时候,最担心的是什么?这里又不得不提到一个老生常谈的话题,那就是个人隐私:“我的信息是否被盗用,是否被滥用?”这年头,科技公司收集用户数据的事大家也都知道,当大家下载一个应用后,看也不看一眼的用户条款就点了同意的那一刻,你的信息就开始被收集了。各种各样的APP在 丰富了我们生活的同时,也似乎有一种被监视的感觉。和预料中类似的,一个相关的统计显示,在中国应用商店上架的APP超过400万款,其中,近97%的安卓应用、近70%的iOS应用会获取用户手机隐私权限。而一旦这些APP提供商被黑客攻击或者数据出现了泄露,用户的个人信息就会有被盗用或者被滥用的风险。

  此外,开源也是一个重灾区。几个月前,美国三大信用评级机构之一的Equifax公司宣布其遭遇黑客入侵,大约1.43亿名美国用户数据泄露。此次数据泄漏事件还对一些英国及加拿大公民的个人信息造成了影响。这是一个典型的开源组件应用没有管理好的出现的问题。一个已知的安全漏洞没有做及时修复,最终导致后来出现的信息泄露问题。

还在事后修补软件Bug?新思科技有一个忠告给你

  调查显示,目前在中国的科技企业里,把预算花在安全方面只占所有IT预算的1%;相对应的,在欧美等比较成熟的IT企业,他们用在信息安全的预算会达到15%。“在市场压力下,企业虽然没有100%准备好也会尽早推出他们的软件或者APP。这是目前市场的普遍规则。然后,他们再通过频繁的软件升级和安全补丁来降低潜在的安全威胁。从轻微的软件缺陷到严重的漏洞,再到潜在的大规模数据泄露,随着中国经济加速数字化转型,软件的安全问题预计将更为严峻。” 新思科技软件质量与安全部门亚太区董事总经理陈玉贞对天极网表示。

还在事后修补软件Bug?新思科技有一个忠告给你
新思科技软件质量与安全部门亚太区董事总经理陈玉贞

  亡羊补牢之殇

  目前,大多数软件和APP开发者倾向于“事后弥补”的概念。在2015年,有两名黑客随机选择了美国全国范围内的多辆汽车进行攻击。据描述,名叫Andy Greenberg的记者开着一辆Jeep Cherokee行驶在高速公路上,随后惊险悄然而至。Greenberg连接上网络,然后用上了所有能用的辅助功能。这没有带来预期的安全,反而成了黑客的目标。黑客把一辆吉普车远程进行控制,开到了沟里。从此之后,汽车产业对于信息安全就非常关注了。

  “出了问题被召回”,几乎每年都有汽车公司的大规模召回事件发生,但你能想象一辆车被召回的成本会是多少?一辆车售价几十万,成百万辆的召回,成本又会是多少?如果把这比钱投入到研发前期,把软件bug弥补掉,又会节约多少成本?据新思科技软件质量与安全部门高级安全架构师杨国梁介绍,他们之前做过一个统计,在早期研发写代码的阶段,修复掉一个bug,如果把它的代价看是一倍,那么,在发布阶段再去修补bug的成本会上升到几十倍。更不用说刚才提到的例子,如果在事后运行了一段时间再被召回修复,这个成本可能是几百倍、几千倍的上升。

  有一丝曙光

  那么,软件在信息安全方面存在的风险和漏洞,如果企业不提前修复,用户就只能被动买单?任其隐私被侵犯、任期安全受到威胁?

  6月1号,《网络安全法》以及最新刑事司法解释的正式施行,被看成是一个“分水岭”。“《网络安全法》中有一个非常重要的点,就是对于所有提供网络服务的厂商,如果没有做好相应的公民信息安全的保护措施,会被处以高达100万人民币的罚款。”

  看起来100万是一个比较高的数字。但相比之下,不久前欧洲发布了GDPR(General Data Protection Regulation,《一般数据保护条例》),将在2018年5月正式生效。对于公民个人信息安全做了更加严格的要求,如果厂商不能很好地保护公民个人信息,可能会被处以该厂商在全球范围内营收4%的罚款。

  所以,政策和法规的助力下,如果企业不能及时采取有效的措施按照相关要求进行安全的防护,一旦出现信息安全事件,就会面临严重的法律风险,甚至可能影响到企业的生存。这让我们看到了企业从“事后弥补”向“事前控制”转变的希望。

  “从零散补救到注重全面、安全的软件开发生命周期(SDLC)。”这是新思科技所提倡的软件行业对安全的思维模式的转变,也是新思科技软件质量与安全部门(SIG)的技术、解决方案及服务专注的领域。“采取一种整体的方法来设计、构建和维护安全软件,我们将这一概念称为‘内置完整性’ (Building Security In)。”陈玉贞说。

  无缝融入SDLC

  一提到SDLC,我们得先从AST(应用安全测试)说起。

  Gartner在AST领域列出了三个重要的技术方向:

  首先是SAST,即静态应用安全测试。可以理解为白盒测试,做代码的语音分析、代码缺陷分析等等。

  其次是DAST,即动态应用安全测试。可以理解为黑盒测试,它需要产品运行起来,但是不需要提供源代码,在运行过程中发现一些安全缺陷等等。

  除了这两个之外,还有一个结合这两个优势的叫做IAST,即交互式应用安全测试的方案。比静态方案更有优势的地方在于它不需要提供源码,但也可以提供非常准确的检测结果;比动态方案好的是,动态会有一些捕获不到的内容,或者在里面完全是一个纯黑盒,但是交互式可以提供里面非常丰富的信息,具体定位到哪个函数有问题等等信息。

  天极网在采访中了解到,2017年2月,Gartner应用安全测试魔力象限的评估报告中,把新思科技列为“领导者”地位。新思科技软件质量与安全部门在AST领域应对用户的不同需求,提供了多样化的产品和服务,其中包括测试产品,托管服务,专业服务以及项目设计与开发四个领域。测试产品包括静态代码分析(Coverity),软件组件分析(Protecode),智能模糊测试(Defensics)以及交互应用安全测试(Seeker)。

还在事后修补软件Bug?新思科技有一个忠告给你
新思科技‘内置完整性’ (Building Security In)产品和服务组合

  “ 软件的问题可能来源于很多种,在研发阶段、运行过程中都可能会出现问题。错误的配置也会导致问题出现。新思科技侧重点是在研发阶段,通过不同的技术,包括从源码级别做测试,从设计阶段做规避,从产品级别做一些黑盒的测试等等。提供先进的测试服务和测试的技术,最大程度上确保软件的安全。”杨国梁说。

  新思科技成立于1986年, 目前在全球的软件领域排在全球第15位,整个公司的营收约每年26亿美金。

  这家公司在技术上的力度是“有点恐怖”的:据了解,新思科技全球工程师的总人数超过了7500人,专利数量超过2700件,研发的总投入占其全球年收总数的比例高达1/3。技术上的执着使得新思科技收获了包括汽车、医疗、物联网(IoT)、金融、机器学习和数字智能等领域的大量客户。

点击查看更多
#+1你赞过了
人已赞

分享到

©2017 天极网旗下网站

#