新思科技杨国梁：安全贯穿始终，物联网需要强化开源管理

物联网应用已经开始渗入我们的生活，并正在呈爆炸性增长。但是物联网行业仍然存在一个严重的问题：制造商倾向于在违规之后，或者安全研究人员发现漏洞后才去进行修复。他们不会在发布之前就为产品构建强大的安全性以防患于未然。

新思科技软件质量与安全部门高级安全架构师杨国梁表示，物联网高速发展，厂商可能更加重视功能实现而不是安全。某种程度上，功能和安全是相冲突的，你为了确保安全，可能要牺牲掉功能的便利性。所以在物联网高速发展的场景下，安全问题也就变得格外重要。厂商应该在不牺牲研发效率或者功能的前提下，尽量把安全考虑进去。

如何防止物联网黑客攻击?在软件发布之前就要确保其安全。新思科技认为这并不难。随着越来越多的专业人士加入物联网行业，进行安全测试的设备的比率正在上升。而且安全测试工具也越来越精细。为了解决物联网的安全问题，新思科技提供了一整套的贯穿物联网生命周期的安全工具，从需求设计到研发测试、交付运维等全面保障物联网安全，这包括Polaris、Seeker、Coverity、Black Duck等一整套解决方案。

安全融入SDLC

杨国梁告诉记者，如果要研发出高质量、安全可靠的软件，新思科技推荐把安全深度融入到整个软件开发生命周期(SDLC)。对于应用场景而言，新思科技更多从整个开发流程入手，在需求、设计、研发、测试、发布等流程中融入自动化的手段确保软件质量和安全。

新思科技定义软件完整性是软件质量和软件安全，这两个都做到了就完整了。所以，对于软件开发的企业来说，软件质量和安全性是一定要达到的目标，并且这是一项旅程，是持续的过程。在这个过程中，工具作为向导，可以帮助企业提前检测和解决质量和安全问题。

为了达到这样的目标，新思科技推出Polaris软件完整性平台将新思科技软件质量与安全的产品和服务的强大功能整合到一个集成解决方案中，帮助安全和开发团队更快地构建安全、优质的软件;新思科技Seeker交互式应用安全测试(IAST)解决方案支持DevSecOps及持续交付安全的Web应用程序;新思科技Coverity静态应用安全测试(SAST)解决方案帮助各类机构更快地构建安全的应用程序，Coverity解决了企业应用安全开发团队日益增长的三大需求：可扩展性、多种编程语言和框架支持，以及全面的漏洞分析;新思科技黑鸭软件组成分析(SCA)解决方案提供全面的软件组成分析解决方案，用于管理在应用程序和容器中使用开源和第三方代码所带来的安全性、质量和许可合规性风险。黑鸭SCA是唯一能够跨源代码、二进制文件、代码段、软件包和容器识别开源的解决方案。

如此丰富的产品组合可以帮助企业构建安全和有质量的软件产品。新思科技构建出完整、安全、高质量的SDLC解决方案，把领先的测试技术、自动化分析以及专家结合到一起，创建出强大的产品和服务组合。该组合能够让企业开发出定制的程序，用在开发流程的早期发现并修复缺陷和漏洞，从而最大限度降低风险并提高生产力。

杨国梁说，新思科技在应用安全测试领域具有独特的优势，能够把最新实践改编和应用到各种新技术和新趋势之中，例如物联网、DevOps、CI/CD和云计算等。测试结束时，还提供上线和部署协助、有针对性的补救指导以及各种培训解决方案。

除了这些，新思科技软件安全构建成熟度模型——BSIMM9旨在帮助企业规划、执行并评估其软件安全计划(SSIs)。BSIMM9是软件安全构建成熟度模型(BSIMM)的第九个版本，收集了120家企业过去10年的真实数据。BSIMM9描述了7800多名软件安全专家的工作成果，展现了软件安全最佳实践模块背后的科学性。这些成果对41.5万名开发人员有指导作用，帮助他们最大化地保障产品的安全性。这些开发人员参与约13.5万应用程序的开发工作。参与BSIMM9调研的企业来自有代表性的垂直行业，包括金融服务、独立软件供应商(ISVs)，云、医疗卫生、物联网、保险及零售业。

杨国梁表示，现在行业厂商比如高科技、物联网、设备商、互联网等对于软件安全越来越重视，通过白盒测试，开源管控、黑盒测试、灰盒测试、甚至交互测试等强化软件质量和安全。特别是金融行业客户已经在主动实现SDL(Security Development Lifecycle)了。

开源管理有待加强

针对目前的物联网安全问题，杨国梁指出：“设计缺陷、安全漏洞和弱密码等是造成物联网威胁的主要因素。同时，物联网行业也需要重视开源代码的安全使用。当然，我们不是说企业应该停止使用开源，而是应该积极主动地去进行开源管理，从一开始就将安全内置在物联网中。”

物联网需要无数的软件来支撑。但是开发人员往往更关注他们创建的软件代码，而忽略了使用的开源代码，导致黑客有机可乘。例如，不久前，黑客窃取了分析服务Picreel和开源项目Alpaca Forms的数据，并修改了它们的JavaScript文件，进而在超过4600个网站上嵌入恶意代码。

根据新思科技发布的《2019年开源安全和风险分析》(OSSRA)报告，现在企业面临着开源应用风险管理的挑战。开源在现代软件开发和部署中发挥着越来越重要的作用，但要实现其价值，企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。

2019年OSSRA报告中最值得注意的开源风险趋势包括： 开源采用率大幅提升。2018年审计的代码库中96%包含开源组件，每个代码库中平均有298个开源组件，2017年则为257个;开源许可证冲突可能会使知识产权面临风险。68%的代码库包含某种形式的开源许可证冲突，38%的代码库包含没有可识别许可证的开源组件;“废弃”组件的使用很常见。85%的代码库包含过去四年以上老式的组件或者过去两年没有开发的组件。如果一个组件处于非活跃状态或者无人维护，也就意味着没有人正在处理其潜在的漏洞;许多组织未能修补或更新其开源组件。2018年黑鸭审计中确定的漏洞的平均年龄是6.6年，略高于2017年 。这表明补救措施没有显著改善。2018年扫描的代码库中有43%包含超过十年以上的漏洞。国家漏洞数据库(National Vulnerability Database)显示2018年增加了16500个新漏洞，其明确的修补流程需要扩展以适应增加的披露的漏洞;并非所有的漏洞都相同，但许多企业甚至没有解决那些风险最高的漏洞。超过40%的代码库包含至少一个高风险开源漏洞。

报告显示开源软件的使用本身并不是问题，实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险，可能极具破坏性。虽然风险因素仍然存在，2019年OSSRA报告数据表明，在Equifax数据泄露之后，开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展： 企业在管理开源安全漏洞方面正渐入佳境。2018年审计的代码库中有60%包含至少一个漏洞，相比2017年的78%已经改善不少。总体而言，开源许可证合规性也得到了改善。2018年审计的代码库中有68%包含有许可证冲突的组件，2017年则为74%。

杨国梁说，在物联网中使用开源技术，一个是安全漏洞问题，如果有新的安全漏洞出现，这个安全漏洞影响我的产品，我是否有预案?一个是许可证问题，许可证是不是合规合法使用?合规问题一定要贯穿到整个研发的体系里面。“那怎么能正确地执行IoT安全方案?重视。大家注意到这些问题，意识到重要性，所以会要求有所改变。”