飛象網訊(章芳/文)1月13日消息,在2019年1月11日的小型媒體溝通會上,新思科技軟件質量與安全部門高級安全架構師楊國梁與我們分享了新思科技關于2019年軟件安全行業(yè)的一些預測以及新思科技的發(fā)展計劃和最新進展。
楊國梁透露,2019年新思科技重點關注物聯網、汽車電子、金融、互聯網和零售五大行業(yè)。2019年3月份新思科技將有公有云方面的方案發(fā)布,私有云方面隨后也會有動作,但還沒有確認。新思科技的目標是為用戶構建完整、安全、高質量的SDLC提供最全面的解決方案。
三點改進 Coverity最新版出爐
1月11日,新思科技宣布發(fā)布其最新版的Coverity靜態(tài)應用安全測試(SAST)解決方案。楊國梁強調,該方案相較之前版本有三點改進:可擴展性、多種編程語言和框架支持,以及全面的漏洞分析。
在可擴展性方面,Coverity使得企業(yè)能夠將SAST工作擴展到大型應用程序組合。最新版的Coverity包含一項名為“無需構建即獲得分析結果”的功能,使安全團隊能夠快速、容易地分析成千上萬的應用程序。安全團隊現在可以簡單地將Coverity指向源代碼項目,并在幾秒內開始分析,而無需先為每一個應用程序執(zhí)行完整的構建操作。
與其他SAST解決方案不同,Coverity會自動檢測項目類型,并獲取通常在構建過程中包含的從屬關系。使用這項新功能可確保分析工作的全面性,并且無需手動指明各種從屬關系。
在廣泛的編程語言和框架支持方面,用于構建應用程序的編程語言和框架的生態(tài)系統(tǒng)正在擴展,因此SAST工具需要了解每一種語言和框架的操作方式才能有效。
為了滿足具有不同應用程序組合的企業(yè)需求,新思科技大大擴展了Coverity的編程語言和框架覆蓋范圍。最新版的Coverity增加了對TypeScript、 .NET Core、Swift 4.1和Ruby on Rails的支持,以及針對Java、 JavaScript、C# 等50多種不同框架的支持,其中包括Angular、React和 Vue。
在漏洞分析方面,Coverity分析引擎利用各種技術以不同方式來查看代碼,從而找到最具可操作性和關鍵性的安全漏洞。為了應對日益普及的框架,最新版的Coverity含大幅度改進的框架分析功能,使得用戶能夠更加準確地檢測客戶端和后端web服務的漏洞。
Coverity現在還可以分析JavaScript框架模板,這是一種流行的客戶端數據綁定方式。Coverity現在可以掃描從這些模板中動態(tài)生成的HTML,以查找其他跨站點腳本漏洞。
新思科技軟件質量與安全部門亞太區(qū)董事總經理陳玉貞表示,客戶通過采用最新版的Coverity,可以把世界水平的靜態(tài)分析技術用于更為廣泛的應用程序,并比以往更容易實施和擴展到大型的應用程序組合。
七大預測 把脈軟件安全行業(yè)
會上,楊國梁還分享了新思科技軟件質量與安全部門對于2019年軟件安全行業(yè)趨勢做的七大預測。
一、IoT攻擊仍然是一個困擾
在亞太地區(qū),許多國家正在推進智慧城市和智能國家計劃。這也為新一輪的IoT網絡攻擊提供了機會。不法分子可以利用數據中毒進行攻擊,其中的錯誤信息將通過部署在目標城市或全國范圍內的傳感器影響決策。
我們還將看到一些舊問題仍然存在:硬編碼憑證和未修補的組件,沒有良好設計的空中下載技術(OTA)更新以及持續(xù)更新策略。
二、設計和標準的安全性
大部分軟件仍然主要是在沒有正式標準和流程的情況下編寫的。與構建橋梁不同,軟件開發(fā)并不是標準化、可重復的工作。開源持續(xù)了很長時間,現在已經司空見慣。可以想象,更多的信任將放在基于開源軟件的通用構建模塊中。此外,垂直領域軟件開發(fā)標準將更快出現。
當生命依賴于正確的軟件執(zhí)行時,我們會將更多的努力放在標準、可審計性和問責制上,這一點在汽車和飛機內的安全關鍵系統(tǒng)上已經得到充分證實。這些標準可能是自下而上的,也可能是由政府監(jiān)管的。金融服務、區(qū)塊鏈以及移動解決方案安全性等領域也有機會執(zhí)行這樣的標準。
2019年,我們可能看到垂直市場組成聯盟,以建立更多面向特定領域的安全標準,并改善信任和互換性。其中大部分可以基于開源組件構建。
三、繼續(xù)向云遷移
隨著經濟的增長,各大企業(yè)也面臨著新的競爭壓力。這迫使企業(yè)需要重新武裝自己。數字化如火如荼,新的云環(huán)境也正在改變企業(yè)部署APP的方式。因此,企業(yè)需要在APP應用和軟件安全方面保持警惕。
我們預計將會有更多投資會放在云端安全上。此外,給員工普及應用安全和軟件安全的概念以及這方面的培訓需求也會越來越多。
四、AI和ML滲入到我們生活
很多人會意識到AI和ML已經在他們周圍出現,對生活、家庭、健康及工作的決策等都有影響。
那AI/ML能為軟件安全和網絡安全做什么呢?這讓人期待。網絡安全很重要的一部分是數據關聯和分析。這就需要具備基于多個不同的數據源(猶如海底撈針)來查找單個威脅和威脅活動以及執(zhí)行威脅行動者歸因的能力。
AI/ML可以通過數據建模和模式識別來提高以上過程的速度、規(guī)模和準確性。然而,很多刊出的文章都對此表示懷疑和擔憂。有的時候,企業(yè)可能會有一種安全的假象,但是事實并非如此。我們還需要更多時間和投入完善數據模型和模式識別,以確保AI/ML技術能夠有效提升軟件安全。
我們應該期待看到大公司繼續(xù)投資AI/ML技術。與此同時,宣傳AI/ML能力的初創(chuàng)企業(yè)也將在2019年繼續(xù)崛起。但是,可能還需要幾年時間才能完全實現AI/ML的真正愿景。
五、針對醫(yī)療和零售業(yè)的攻擊將增多
原因是這些行業(yè)正在收集的數據的價值正在增加。我們必須進行投資以保護醫(yī)療、零售及其他行業(yè)的數據。需要再次強調的是:安全培訓必不可少。
六、對開發(fā)人員使用第三方應用程序編程接口(API)的敏感性提高
它是絕大多數IT企業(yè)的盲點,類似于十年前的開源使用。大多數公司都了解確保他們發(fā)布的API免受外部攻擊的重要性,但很少有公司會通過從內到外調用第三方API來跟蹤他們自己的代碼在Web服務的使用。
依賴第三方服務的方式還存在其它法律和業(yè)務風險。公司還必須考慮到他們可能無意中傳遞到防火墻外的未知和不受信任來源的機密數據。
七、從數據到決策
現在有許多質量和安全解決方案,每個都有自己的目的、優(yōu)勢和產生的數據。可能是滲透測試、日志監(jiān)控和入侵檢測,或自動化軟件安全測試解決方案。雖然功能和技術不斷發(fā)展,但它們也會創(chuàng)造出更多的信息和數據點。
我們很容易淹沒在信息海洋中,而忽視了一些必需品。其實,關鍵是將這些數據融合在一起,以制定基于風險和業(yè)務的決策。一方面,我們面臨的挑戰(zhàn)在于“海底撈針”;另一方面,我們需要組合來自不同方法和域的數據,以了解整體狀態(tài)。
2019年,我們需要的并不是更多數據,而是更好的決策支持。
最后,楊國梁表示,新思科技關注整個軟件開發(fā)周期的安全性,從而確保公司更快地構建安全、高質量的軟件。