5G物联时代，我们靠什么保卫自己的安全?

软件是安全的基础

当前，越来越多的专业人士认同这样一个观点：安全问题已经是一个系统工程，涉及到信息系统的方方面面。

新思科技软件质量与安全部门高级安全架构师杨国梁

杨国梁表示认同这种观点，他介绍说：“当我们回顾安全问题时，会发现最终的问题最可能出现在这三个方面：软件存在设计缺陷、安全漏洞、弱密码。这三种原因归结到软件上，我们就会发现实际上是在需求设计、研发测试和交付运维三个环节都存在问题。这三个阶段贯穿了整个的软件生命周期，实际上在提醒我们，要让安全问题的解决实现自动化，并把它集成到研发流程中去,才是软件安全问题的最终解决之道。”

软件是安全的基础，这是一个常识性的问题，新思科技首席顾问Larry Trowell此前在谈及如何防止IoT黑客攻击这个问题时，将答案归结为“重视。”如此一来，这个问题的答案，就由技术问题转变成了态度问题。

杨国梁表示：“当IoT处于高速发展的阶段时，软件的功能和安全往往会构成一对矛盾，业界人士可能会重功能而轻安全。当功能的便利性和安全发生冲突时，大家可能不会为了安全而去牺牲掉一些功能特点。”

应对软件行业中存在的重功能轻安全的这一问题，新思科技一直以来致力帮助企业快速构建安全、优质的软件。新思科技为企业构建完整、安全、高质量的 SDLC 和供应链提供了最全面的解决方案，并且把领先的测试技术、自动化分析以及专家结合到一起，创建出强大的产品和服务组合。该组合能够让企业开发出定制的程序，用于在开发流程的早期发现并修复缺陷和漏洞，从而最大限度降低风险，最大限度提高生产力。新思科技在应用安全测试领域成为公认领导者，它是全球第十五大软件公司。

软件是安全的基础虽然是一个老生常谈式的问题，但在物联网、5G等技术将要进入一个野蛮生长时期的转折点时，却成为了一个值得我们深思的大问题。

转了一圈之后，也许我们会重新发现：软件是安全的基础，而打牢这个基础的方法，在于我们重新开始重视软件本身的安全，把安全的方法融入软件开发过程。现在，是需要我们转变态度的关键时刻了。

5G时代的安全选择

5G时代的开启，让业界开始重新思考5G能为业界带来些什么。也许不仅是网速的提升，还有物联网中更多的传感器被采用。在不远的将来，也许我们每个人都会采用上千个传感器，而其中的信息更是与我们的安全息息相关。

新思科技首席顾问Larry Trowell此前曾提出“物联网的每个元素都会产生新的技术，而且在大多数情况下，这些技术还不够安全。”这其实一点也不难理解，物联网应用已经开始渗入我们的生活，并正在呈爆炸性增长。但是物联网行业仍然存在一个严重的问题：制造商倾向于在违规之后，或者安全研究人员发现漏洞后才去进行修复。他们不会在发布之前就为产品构建强大的安全性以防患于未然。但这种做法却可能给物联网用户带来更多不安全。

就这个问题，杨国梁谈了自己的观点：“在5G物联网时代，开发企业在软件开发阶段就必须主动采取安全措施。以往用户爱用防火墙、入侵检测这类安全措施，但这种做法的实质是采用安全软件，这种软件存在的目的是确保用户安全。这种做法是通过对用户的边界防护来实现的。但在5G物联网时代，系统围绕在用户身边，用户的个人风险、个人财产的风险，甚至个人生命的风险，都可能取决于这些物联网设备。这个时候，当出现问题之后再去做出补救，可能为时已晚。所以新思科技的做法是把安全防护置前，帮用户开发安全的软件。这样用户不再依赖于边界防护的方法，因为系统本身就是一个足够健壮的系统。”

也许我们可以这样理解，随着5G时代的来临，物联网将不可避免地进入一个野蛮生长时期。为了保障物联网的安全，也许我们在当前的物联网的筑基阶段，必须保证所写下的每一行代码都是安全的。

开源时代如何让安全得到保障

与5G、云计算、物联网等技术浪潮不同，开源技术是另一条长年不衰的主线。也许在十年前，开源业界的人士还在为某个开源应用成为知名大企业的核心应用，而兴奋不已;那么到了今天，几乎在每一次新技术浪潮中，从云计算到容器技术，开源技术都有重头产品推出，并占据大量市场份额。

新思科技网络安全研究中心发布的《2019年度开源安全与风险分析报告》显示，被审计代码库中开源代码的占比，按行业划分为：所调查的企业软件/SaaS，58%包含开源代码;所调查的互联网和软件基础架构中,61%包含开源代码;所调查的零售和电子商和系统中，62%包含开源代码;参与调查的金融服务和金融科技系统中，64%包含开源代码。

但另一方面，这些开源软件却给应用者埋下了一个又一个的坑：在2018被审代码库中，68%包含存在许可证冲突的代码，38%的被审代码库中包含“未获得许可”的代码，同时被审代码库中有85%包含四年前或者最近两年停止了开发活动的代码。

谈及开源软件的这些坑，杨国梁介绍说：“许多公司都是用开源软件而不知，可能是开发人员因为时间紧，找到一个能用的开源组件，就直接用上了;也可能是外包公司在开发的过程中应用了开源软件。总之，开源软件有各种途径能够进入用户的系统，而不是用户指定一定要用开源软件，才会用上它。因为管理的原因，开源软件中可能存在各类风险。”

具体来说，杨国梁解释说：“开源软件因为管理的原因，可能存在安全漏洞。此外，并不是所有的开源软件都可以随便使用，开源软件需要遵循不同的许可协义。最后，开源项目可能因为主要开发者退出，而处于开发停滞状态，用户用了这样的开源软件，以后的系统稳定性就无法得到保证。”

而说到解除方法，杨国梁介绍说：“目前新思科技的Black Duck软件组成分析解决方案，已经能很好地解决开源软件这些问题。通过识别、保护、管理和监测这四个步骤，就可以查找到所有在用的开源组件，确认其中有无不当的开源许可，再通过安全策略保障开源软件的安全，最后通过探明开源软件是否处于更新停更阶段，就可以有效保障开源软件的安全性。”

杨国梁最后强调说：“开源软件是一个大宝库，但要想用好它，前提一定是要把开源软件中安全的坑填平。”

对于充满了新浪潮的IT业来说，也许变化是唯一的不变。但当5G、云计算、物联网、开源等诸多新课题以叠加的方式在我们面前爆裂开来时，我们需要考虑的不仅是被动的应对，还要有主动的安全防护措施。5G物联时代，将安全防护置前，让我们在筑基阶段走好每一步，也许才是保护我们自己安全的最好选择。