当前位置 :
2018-07-13 13:45

新思科技——高级安全架构的基础是软件安全

阅读 353

当前,在全球都在大力发展互联网经济、数字经济的背景下,网络安全快速成为了最热门也最令人头痛的话题。而在愈发凸显的“软件定义世界”、“数据驱动未来”等发展趋势下,应用软件和跑在上面的数据的安全更显得尤为重要起来。
日前,在发布其静态代码分析工具最新版本——Coverity 201806的媒体沟通会上,美国新思科技公司 (Synopsys, Nasdaq: SNPS)软件质量与安全部门的高级安全架构师杨国梁告诉记者,“现在似乎大家谈得较多的是数据安全,但数据不安全其实是一种结果,它的原因在于处理这些数据的应用软件写得不健壮、里面有问题,存在被黑客利用而导致数据被窃取。“
言下之意,比起已经引发高度共识的数据安全,杨国梁认为应用软件的安全也值得业界警醒和重视。他表示,“Coverity专注的代码层面的安全检测,就是为了从源头上尽量规避、解决这类问题,把风险问题扼杀在to B阶段,而不是等到to C推向市场时才发现。”

杨国梁提到Coverity静态代码分析工具,是新思科技软件质量与安全部门的主打产品之一,该工具致力于为企业的软件开发提供在整个SDLC(软件开发生命周期)过程中检测和修复缺陷所需要的东西,从而消除风险、防患未然。Coverity在其专业领域享有高认可度,已被权威市场调研机构Gartner 和Forrester几度评为“静态应用安全测试领导者”。
杨国梁解释称,Coverity可以迅速分析超过一亿行的大型代码库,在出现漏洞、系统崩溃之前就检测出潜在危险,可以大幅减少维修花销,帮助企业降低成本和风险。迄今,Coverity已经帮助上千家企业防患于未然,推动他们更快地将产品投入市场。

杨国梁告诉记者,网络安全是一个快速变化的动态市场,客户需求日新月异,为了帮助用户更有效地应对挑战,Coverity每年都会进行两次重大升级,以及一些小修小补升级。Coverity 201806是该工具的最新版本,目前已在中国与全球同步更新发布,主要带来四个方面的升级:
第一,Coverity 201806关联了在线学习平台e-learning,方便研发人员参加相关培训课程,丰富工作所需知识。
第二,Coverity 201806增强了Spectre(幽灵) 安全漏洞检查功能,识别易受幽灵攻击的应用程序代码模式;
第三,Coverity 201806新增或更新了对行业标准的支持,包括Cert C++ 2016、MISRA C 2012 TC1:2017和OWASP Top 10 2017;
第四,新增或更新了对编码语言和框架的支持,更精准地识别Python、Java和Swift中漏洞。
其中,最让记者印象深刻的是第一点,如果说其他三点还是“常规”完善,那么Coverity与e-learning的关联则算得上重大更新。据杨国梁介绍,新思科技的eLearning平台是一种以结果为导向、以学习者为中心的培训解决方案,其包含37种课程,广泛覆盖应用安全领域话题,比如风险分析、认证、安全标准、面向网络和移动应用的防御性编程、威胁建模和安全测试策略等等。

在他看来,这一关联至少带来两大好处:其一,能够根据常见缺陷列表(CWEs,安全漏洞词典)为开发人员提供上下文相关的应用安全课程;其二,基于最高置信水平算法,专有漏洞分析工具可以将检测出来的漏洞与常见缺陷列表进行匹配,进而推荐相关的学习内容。套用时髦话术,记者认为这有点智能推荐、精准匹配的意思,再往后发展就是深度学习、人工智能,不排除发展到某一天实现更高效、直接的问题解决方案——比如说直接呈现可供选择的参考答案或解决思路。
面向未来,新思科技的Coverity工具究竟会不会进化到深度学习后自动解决问题的阶段呢?工程师的严谨让杨国梁对此“讳莫如深”,但透露新思科技近几年的总体研发支出水平占到公司营收的30%,未来将持续投入技术创新,应对日趋复杂的网络安全环境,护航企业应用软件的安全之旅。

转自:极客网

阅读 353