如何优化软件“基因”,构筑软件“内建安全”?

吉衣OSC 发布于 2018/04/27 18:18
阅读 593
收藏 0

DevSecOps —— 2017 年美国 RSA 大会新出现的新概念,它由 DevOps 的概念延伸和演变而来,核心理念为:安全是整个 IT 团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发和运营整个业务生命周期每一个环节才能提供有效保障。

360 代码卫士深知万物互联时代下,软件安全对企业与开发者的重要性,更希望能帮助企业与开发者将安全性融入到开发和运营流程中,为实现敏捷性和创新提供保障,DevSec 中国行由此产生。

DevSec 中国行由 360 代码卫士 码云(Gitee.com)联合主办,每期仅邀请 50 家企业高层技术人员及项目管理者带领团队,与 DevSec 核心厂商、实力派技术大牛进行深度探讨,分享 DevSec 成功案例与产品,将 DevSecOps 概念本土化为更适用于国内企业的 “DevSec” 理念(Development & Security),让更多企业受惠于此。

2018 年 4 月 21 日,DevSec 中国行第一站在武汉举办。尽管会议当天大雨如注,但企业与开发者对 DevSec 的热情却不曾熄灭,50 家企业如约而至,全场座无虚席。

据 Gartner 报告,“75% 的安全攻击都是由于软件自身的漏洞引起的”。以下为360互联网安全中心的数据统计:

软件代码中安全缺陷与漏洞的存在是各种安全事件频繁发生的根源。如何建立一套有效的代码安全防护体系,保障信息系统的安全性,始终是企业安全的关注重点。

曾参与多项国家级、部委级科研课题,拥有8+年源代码静态分析领域工作经验的 360 代码卫士产品研发负责人—— 韩建先生,为我们带来了干货满满的「内建安全——软件安全开发实践」主题分享。

韩建先生首先从软件安全开发背景开始,详细说明了软件安全问题及其产生原因:随着软件复杂度不断提升,软件自身缺陷数量增多;软件供应链的日益复杂,开源组件漏洞具有越来越强的放大效应,再加上恶意代码的泛滥和黑客活动的猖獗,软件安全面临着前所未有的巨大挑战。

然而,我们的安全手段却较为传统,仍然集中在在系统上线运行之后的检测和防御。这种系统上线运行后的被动防御手段,无法从源头上发现安全问题,不能消减软件自身的安全漏洞,治标不治本。

据 NIST 报道:“在软件发布以后进行修复的代价是在软件设计和编码阶段进行修复所花代价的 30 倍”。那么,软件安全问题该如何从源头避免呢?

韩建先生从软件安全开发方法论及业界实践两方面,阐述在软件安全开发生命周期各环节(需求、设计、开发、测试、发布)融入安全开发理念的重要性,并介绍了几款主流安全开发模型,如:Microsoft 软件安全开发生命周期模型SDL、McGraw接触点模型BSI、BSIMM模型、开放框架SAMM等。

“如果将软件看作‘虚拟人’,源代码安全审计可以发现和解决软件‘先天不良’的问题,优化软件‘基因’,提高软件的自身安全性,实现软件‘内建安全’。” 韩建先生用生动的比喻,形象地说明了代码安全审计对软件安全的重要性。随后,还介绍了代码安全审计的参考标准、代码安全审计的对象和示例分析、代码安全审计的实施方法。

韩建先生和360 代码卫士团队一直专注于软件源代码与可执行码的漏洞分析技术研究和产品开发。2015 年初,360 代码卫士发起了国内最大的“开源项目检测计划”,检测开源项目 2230 个,测试代码 2.6 亿行,积累了大量的源代码安全缺陷检测基础数据。

为了和广大开发者一起打造更安全,更有生命力的代码,2016 年 10 月,360 代码卫士为开源中国社区的软件托管项目——码云,提供源代码安全检测云服务,检测超过 1 万个软件项目、3.6 亿多行代码。 

从产品构成上看,360 代码卫士涵盖:源代码缺陷检测、源代码合规检测、源代码溯源检测三大方向,分别解决软件了开发过程中的安全缺陷和漏洞问题、安全合规性问题、第三方代码安全管控问题。

在此基础上,代码卫士产品线还创新性的实现了一套软件安全开发生命周期管理平台,该平台可与企业已有的软件开发和测试环境无缝对接,将源代码安全检测融入企业开发流程,实现软件源代码安全目标的统一管理、自动化检测、差距分析、Bug修复追踪等功能,帮助企业以最小代价建立代码安全保障体系并落地实施,构筑信息系统的“内建安全”。

软件源代码是软件系统的原始形态,源代码中的安全隐患是漏洞产生的根源。360 代码卫士,始终扎根于源代码漏洞分析,做源头上的安全使者。

 

                                                                                                    作者:举个栗子

 

【联合主办方】

   

【独家社区支持】

   

【特别支持单位】

   

 

加载中
返回顶部
顶部