隨著5G、邊緣計(jì)算、大數(shù)據(jù)以及物聯(lián)網(wǎng)的快速發(fā)展,無(wú)人駕駛、智能工廠全面普及,人人互聯(lián)、機(jī)機(jī)互聯(lián),甚至人機(jī)互聯(lián)成為可能,在信息化迅速發(fā)展的今天,軟件應(yīng)用服務(wù)正滲透到各行業(yè)和領(lǐng)域,軟件應(yīng)用自身的安全問(wèn)題也成為焦點(diǎn)。
當(dāng)前全球安全事件頻發(fā),代碼程序漏洞是關(guān)鍵誘因之一。程序的安全漏洞需要盡早被發(fā)現(xiàn),如果運(yùn)行中的系統(tǒng)被曝出漏洞,企業(yè)會(huì)付出比安全前置更高的修復(fù)代價(jià)。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的統(tǒng)計(jì),在發(fā)布后執(zhí)行代碼修復(fù),其修復(fù)成本相當(dāng)于在設(shè)計(jì)階段執(zhí)行修復(fù)的30倍。所以為了避免安全漏洞出現(xiàn)造成的巨大損失,軟件安全方案的制定就成為了企業(yè)發(fā)展過(guò)程中的重中之重,那么如何來(lái)制定軟件安全方案來(lái)確保企業(yè)內(nèi)部的正常運(yùn)轉(zhuǎn)呢?如何確保軟件安全方案是否安全?帶著這些問(wèn)題,我們采訪到了新思科技軟件質(zhì)量與安全部門(mén)高級(jí)安全架構(gòu)師楊國(guó)梁先生,聽(tīng)他為我們深度解讀軟件安全的相關(guān)疑問(wèn)。
眾所周知,安全行業(yè)在當(dāng)前的高速發(fā)展過(guò)程中,出現(xiàn)了一些亟待解決的“怪現(xiàn)狀”。比如,行業(yè)普遍重視“攻”,而忽視“防”,造成防守人才極度匱乏,進(jìn)而使得攻守失衡。再比如,業(yè)界普遍重視“人手”,而輕視“自動(dòng)化”,讓大量的安全工作都是低級(jí)重復(fù)性的,效率非常低下。
這些安全問(wèn)題遍布在各行各業(yè),金融、醫(yī)療,云、保險(xiǎn)、零售等行業(yè),為了解決安全問(wèn)題,許多企業(yè)也身體力行。為此,免備案主機(jī),楊國(guó)梁先生表示,現(xiàn)如今每家企業(yè)都需要明確的軟件安全方案來(lái)聚焦工作,香港服務(wù)器租用,敏捷、CI/CD或者DevOps既不是軟件不安全的原因也不是解決方案,并且軟件安全的構(gòu)建需要不同團(tuán)隊(duì),不同角色,不同流程,不同人來(lái)群策群力,就是所謂的DevSecOps。
并且伴隨著包括新技術(shù),新的安全問(wèn)題諸如容器&微服務(wù)、供應(yīng)鏈的安全、開(kāi)源的安全等問(wèn)題的出現(xiàn),會(huì)有一些監(jiān)管要求、合規(guī)要求等等這些,所有的一切的東西都在變化中,新漏洞和攻擊方式也在不斷出現(xiàn),所以只有一個(gè)相對(duì)比較完整的軟件安全方案(SSI)才能指導(dǎo)你更好的構(gòu)建你的安全產(chǎn)品,或者指導(dǎo)你做好軟件安全的開(kāi)發(fā)的過(guò)程。
那么,如果企業(yè)構(gòu)建出來(lái)的軟件安全方案,怎樣來(lái)評(píng)估SSI是否安全呢?楊國(guó)梁先生談到,現(xiàn)在越來(lái)越多的企業(yè)注重軟件安全解決方案的評(píng)估和測(cè)試,自2008年,新思科技共計(jì)對(duì)211家企業(yè)開(kāi)展了約500次BSIMM測(cè)評(píng),本次也發(fā)布了BSIMM11,其非常注重?cái)?shù)據(jù)的“新鮮度”,相較于前十個(gè)版本,BSIMM11強(qiáng)調(diào)從安全“左移”變?yōu)?ldquo;無(wú)處不移”,工程技術(shù)導(dǎo)向的軟件安全工作正在成功地為實(shí)現(xiàn)彈性的DevOps價(jià)值流貢獻(xiàn)力量;更廣泛使用CI/CD和DevOps;在過(guò)去三年BSIMM的模型中,觀察到了8個(gè)新的活動(dòng),其都與DevSecOps有關(guān),所以DevSecOps也是一個(gè)明顯的增長(zhǎng)趨勢(shì)。此外,軟件定義安全管理不再僅僅是一種愿望,軟件化的自動(dòng)化的東西越來(lái)越多,而不再是純粹的依靠人員的管控,像一些所謂pipeline的東西,現(xiàn)在已經(jīng)不管是軟件還是測(cè)試本身都變成一些infrastructure基礎(chǔ)設(shè)施架構(gòu)級(jí)別的一些東西。
眾所周知,新冠疫情的影響,加速了企業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)程,大量線下業(yè)務(wù)轉(zhuǎn)移到線上,對(duì)于BSIMM本身的評(píng)估方式也是有變化的,之前是現(xiàn)場(chǎng)評(píng)估,現(xiàn)在疫情的影響導(dǎo)致整個(gè)評(píng)估的工作改為了線上。
談到做BSIMM測(cè)試的企業(yè),楊國(guó)梁先生表示,目前做測(cè)試的國(guó)外的企業(yè)居多,中國(guó)企業(yè)占比較少,并且行業(yè)屬性比較垂直。在這些測(cè)試的行業(yè)中,云、物聯(lián)網(wǎng)和高科技公司是BSIMM11數(shù)據(jù)池中最成熟的三個(gè)垂直行業(yè)。BSIMM11還強(qiáng)調(diào)了三個(gè)受到高度監(jiān)管的行業(yè)之間的差異:金融服務(wù)、醫(yī)療保健和保險(xiǎn)。金融服務(wù)行業(yè)比其他行業(yè)更早地組建軟件安全團(tuán)隊(duì),因此,與醫(yī)療保健和保險(xiǎn)行業(yè)相比,擁有更為成熟的軟件安全實(shí)踐。BSIMM首次歸納金融科技行業(yè)的數(shù)據(jù),并發(fā)現(xiàn)它與金融服務(wù)的追蹤非常接近,主要的差異體現(xiàn)在培訓(xùn)、安全測(cè)試和代碼審查實(shí)踐中。
訪談最后,楊國(guó)梁先生談到,在國(guó)家和各企業(yè)高度重視軟件安全問(wèn)題的情況下,BSIMM將根據(jù)技術(shù)的安全等問(wèn)題的出現(xiàn)不斷進(jìn)行更新和升級(jí),幫助企業(yè)掌握軟件安全方案的現(xiàn)狀,提供視圖的可視性;衡量新的軟件安全的方法;評(píng)估企業(yè)自身的軟件安全方案策略;建立衡量軟件安全方案進(jìn)展的方法,給出企業(yè)提升的建議;展示軟件安全的狀態(tài),收集具體細(xì)節(jié),以向公司高層或董事會(huì)說(shuō)明安全方案如何發(fā)揮作用。
