對話新思科技楊國梁:應(yīng)用軟件安全可能比數(shù)據(jù)安全更值得重視

極客網(wǎng)·極客訪談6月15日,當(dāng)前,在全球都在大力發(fā)展互聯(lián)網(wǎng)經(jīng)濟(jì)、數(shù)字經(jīng)濟(jì)的背景下,網(wǎng)絡(luò)安全快速成為了最熱門也最令人頭痛的話題。而在愈發(fā)凸顯的“軟件定義世界”、“數(shù)據(jù)驅(qū)動未來”等發(fā)展趨勢下,應(yīng)用軟件和跑在上面的數(shù)據(jù)的安全更顯得尤為重要起來。

日前,在發(fā)布其靜態(tài)代碼分析工具最新版本——Coverity 201806的媒體溝通會上,美國新思科技公司 (Synopsys, Nasdaq: SNPS)軟件質(zhì)量與安全部門的高級安全架構(gòu)師楊國梁告訴極客網(wǎng),“現(xiàn)在似乎大家談得較多的是數(shù)據(jù)安全,但數(shù)據(jù)不安全其實(shí)是一種結(jié)果,它的原因在于處理這些數(shù)據(jù)的應(yīng)用軟件寫得不健壯、里面有問題,存在被黑客利用而導(dǎo)致數(shù)據(jù)被竊取?!?/p>

對話新思科技楊國梁:應(yīng)用軟件安全可能比數(shù)據(jù)安全更值得重視.jpg

言下之意,比起已經(jīng)引發(fā)高度共識的數(shù)據(jù)安全,楊國梁認(rèn)為應(yīng)用軟件的安全也值得業(yè)界警醒和重視。他表示,“Coverity專注的代碼層面的安全檢測,就是為了從源頭上盡量規(guī)避、解決這類問題,把風(fēng)險(xiǎn)問題扼殺在to B階段,而不是等到to C推向市場時(shí)才發(fā)現(xiàn)?!?/p>

楊國梁提到Coverity靜態(tài)代碼分析工具,是新思科技軟件質(zhì)量與安全部門的主打產(chǎn)品之一,該工具致力于為企業(yè)的軟件開發(fā)提供在整個(gè)SDLC(軟件開發(fā)生命周期)過程中檢測和修復(fù)缺陷所需要的東西,從而消除風(fēng)險(xiǎn)、防患未然。Coverity在其專業(yè)領(lǐng)域享有高認(rèn)可度,已被權(quán)威市場調(diào)研機(jī)構(gòu)Gartner 和Forrester幾度評為“靜態(tài)應(yīng)用安全測試領(lǐng)導(dǎo)者”。

楊國梁解釋稱,Coverity可以迅速分析超過一億行的大型代碼庫,在出現(xiàn)漏洞、系統(tǒng)崩潰之前就檢測出潛在危險(xiǎn),可以大幅減少維修花銷,幫助企業(yè)降低成本和風(fēng)險(xiǎn)。迄今,Coverity已經(jīng)幫助上千家企業(yè)防患于未然,推動他們更快地將產(chǎn)品投入市場。

楊國梁告訴極客網(wǎng),網(wǎng)絡(luò)安全是一個(gè)快速變化的動態(tài)市場,客戶需求日新月異,為了幫助用戶更有效地應(yīng)對挑戰(zhàn),Coverity每年都會進(jìn)行兩次重大升級,以及一些小修小補(bǔ)升級。Coverity 201806是該工具的最新版本,目前已在中國與全球同步更新發(fā)布,主要帶來四個(gè)方面的升級:

第一,Coverity 201806關(guān)聯(lián)了在線學(xué)習(xí)平臺e-learning,方便研發(fā)人員參加相關(guān)培訓(xùn)課程,豐富工作所需知識。

第二,Coverity 201806增強(qiáng)了Spectre(幽靈) 安全漏洞檢查功能,識別易受幽靈攻擊的應(yīng)用程序代碼模式;

第三,Coverity 201806新增或更新了對行業(yè)標(biāo)準(zhǔn)的支持,包括Cert C++ 2016、MISRA C 2012 TC1:2017和OWASP Top 10 2017;

第四,新增或更新了對編碼語言和框架的支持,更精準(zhǔn)地識別Python、Java和Swift中漏洞。

其中,最讓極客網(wǎng)印象深刻的是第一點(diǎn),如果說其他三點(diǎn)還是“常規(guī)”完善,那么Coverity與e-learning的關(guān)聯(lián)則算得上重大更新。據(jù)楊國梁介紹,新思科技的eLearning平臺是一種以結(jié)果為導(dǎo)向、以學(xué)習(xí)者為中心的培訓(xùn)解決方案,其包含37種課程,廣泛覆蓋應(yīng)用安全領(lǐng)域話題,比如風(fēng)險(xiǎn)分析、認(rèn)證、安全標(biāo)準(zhǔn)、面向網(wǎng)絡(luò)和移動應(yīng)用的防御性編程、威脅建模和安全測試策略等等。

在他看來,這一關(guān)聯(lián)至少帶來兩大好處:其一,能夠根據(jù)常見缺陷列表(CWEs,安全漏洞詞典)為開發(fā)人員提供上下文相關(guān)的應(yīng)用安全課程;其二,基于最高置信水平算法,專有漏洞分析工具可以將檢測出來的漏洞與常見缺陷列表進(jìn)行匹配,進(jìn)而推薦相關(guān)的學(xué)習(xí)內(nèi)容。套用時(shí)髦話術(shù),極客網(wǎng)認(rèn)為這有點(diǎn)智能推薦、精準(zhǔn)匹配的意思,再往后發(fā)展就是深度學(xué)習(xí)、人工智能,不排除發(fā)展到某一天實(shí)現(xiàn)更高效、直接的問題解決方案——比如說直接呈現(xiàn)可供選擇的參考答案或解決思路。

面向未來,新思科技的Coverity工具究竟會不會進(jìn)化到深度學(xué)習(xí)后自動解決問題的階段呢?工程師的嚴(yán)謹(jǐn)讓楊國梁對此“諱莫如深”,但透露新思科技近幾年的總體研發(fā)支出水平占到公司營收的30%,未來將持續(xù)投入技術(shù)創(chuàng)新,應(yīng)對日趨復(fù)雜的網(wǎng)絡(luò)安全環(huán)境,護(hù)航企業(yè)應(yīng)用軟件的安全之旅。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2018-06-15
對話新思科技楊國梁:應(yīng)用軟件安全可能比數(shù)據(jù)安全更值得重視
日前,在發(fā)布其靜態(tài)代碼分析工具最新版本——Coverity 201806的媒體溝通會上,美國新思科技公司 (Synopsys, Nasdaq: SNPS)軟件質(zhì)量與安全部門的高級安全架構(gòu)師楊國梁告訴極客網(wǎng),“現(xiàn)在似乎大家談得較多的是數(shù)據(jù)安全,但其實(shí)數(shù)據(jù)不安全其實(shí)是一種結(jié)果,它的原因在于處理這些數(shù)據(jù)的應(yīng)用軟件寫得不健壯、里面有問題,存在被黑客利用而導(dǎo)致數(shù)據(jù)被竊取?!?/div>

長按掃碼 閱讀全文