随着移动互联网、大数据、云计算等的快速发展,安全话题日益重要,引发了产业界的高度关注。也是在这样的情况下,一些新的安全产品设计理念开始出现,例如涉及整个产品生命周期的SDLC理念,以及“硬件+软件”一体化的安全产品设计理念。
在安全新理念出现的同时,这些新理念背后的新的面孔也开始出现在人们视野,其中就包括向来以EDA(电子设计自动化)著称的新思科技。
应市场所需跨界安全领域
提起新思科技,相信很多人并不感到陌生。作为一家成立于1986年的公司,新思科技目前在全球软件公司中排名第15位,在EDA领域具有领先的市场优势。那么,这样一家在EDA领域响当当的公司,为何会跨界到安全领域?
新思科技软件质量与安全部门亚太区董事总经理陈玉贞表示,新思科技非常重视倾听客户声音。例如在集成芯片设计方面,其流程是:工程师提出相关想法——通过工具进行验证——实现该想法——落实到具体产品中。
在提供EDA的过程中,新思科技了解到客户存在软件质量与安全方面的需求。例如有的客户曾经向新思科技反应:既然新思科技能够提供硬件设计的工具,而运行在硬件上的软件同样重要,那么为何新思科技不能提供工具来验证软件的可靠性和安全性?
“基于这样的需求,我们决定不仅提供硬件,而且在软件方面加大投入,提供软件+硬件的组合解决方案。”陈玉贞表示。
从另一个角度看,新思科技软件质量与安全部门高级安全架构师杨国梁认为,IP、EDA都内嵌在芯片中,其中已经有很多关于安全的考量,即做芯片也要体现安全的设计,因此安全需要布局到软件层面,在其上运行的软件安全也要用同样的逻辑、要求加以确保。
为此,新思科技成立了SIG部门(软件质量与安全部门),EDA和SIG协调分工,借助这样的架构,新思科技在设计安全硬件设备的同时,也提供软件方面的连续性和统一性,使得自己的设备在硬件和软件方面都有保障。
三大系列产品获第三方好评
跨界安全领域的新思科技目前已经有成熟的产品推出,据悉,新思科技的SIG部门近期参与了Gartner应用安全领域的评估,结果显示其在应用安全测试魔力象限中处于“领导者”的地位。
Gartner此次评估的主要是AST领域的三个技术方向:第一是SAST(静态应用安全测试),可以理解为白盒测试,主要内容是代码语义分析、代码缺陷分析等;第二是DAST(动态应用安全测试),可以理解为黑盒测试,该测试需要产品运行起来,在运行过程中发现安全缺陷,该测试不需要提供源代码;第三是IAST(交互式应用安全测试),与静态方案相比无需提供源码也可提供非常准确的检测结果,与动态方案相比可以提供非常丰富的信息,可以实现具体定位。
在SAST方面,新思科技提供Coverity,可在编码过程中发现质量缺陷与安全漏洞。研发人员写完代码后,实时提交到构建服务器上;构建服务器在构建的时候,Coverity会执行一些捕获和分析。一个典型的场景就是夜间构建,即夜间进行分析,第二天研发人员可以获得缺陷通知并及时修复。目前,新思科技的Coverity支持十几种语言和框架。
在DAST方面,新思科技的托管服务中包含这项测试,在Web应用运行过程中,发现漏洞,而不需要源代码。这属于黑盒测试。
在IAST方面,新思科技提供Seeker,通过对网络应用程序实时操作监控,高效分析并准确检测前端页面、中间数据处理层、后端数据库可能存在的恶意攻击。当发现攻击性数据流时,Seeker会实时监控其运行代码,判断是否出现触发跨站脚本攻击、SQL注入等问题。Seeker的优点是可以零误报,使用简单方便。
此外新思科技还有针对开源软件的Protecode软件组成分析,以及动态测试方案和软件组成分析等,并提供安全托管服务和定制化服务,可实现所有的静态测试、动态测试等。
新思科技在黑盒测试方面还提供Defensics智能模糊测试工具,从网络协议的角度进行模糊测试,以不正确的输入格式对系统进行随机测试,以触发危险的、未知的漏洞。Defensics在2014年独立发掘了OpenSSL上的“心脏出血”漏洞。目前,Defensics支持超过250种协议。对于Defensics未覆盖到的私有协议,新思科技提供SDK接口二次开发来满足私有协议的测试。
SDLC理念为中国市场保驾护航
具体到中国市场,目前中国正凭借互联网、大数据、人工智能和其它颠覆性技术大力推进产业改革。软件是实现这些重大转型计划的驱动力。因此,软件行业将迎来巨大的机遇。
中国软件行业最大的挑战之一是安全,从轻微的软件缺陷到严重的漏洞,再到潜在的大规模数据泄露。随着中国经济加速数字化转型,软件安全问题预计将更为严峻。
企业即使没有100%准备好也会尽早在市场推出他们的软件或者APP。这是目前市场的普遍规则。他们将依靠频繁的软件升级和安全补丁来降低潜在的安全威胁。虽然这是一个昂贵且费时的工作,但考虑到快速上市的利益,一些企业有可能把这些弊端看作是不可避免的。
然而,随着中国对网络安全越发重视,这个市场规则势必会彻底改变。
几个月前,《中华人民共和国网络安全法》正式生效,违规企业将受到严重的罚款,情节严重的会被指控承担刑事责任。有鉴于此,中国企业必须尽可能识别和消除软件缺陷和漏洞。此外,国家移动互联网应用安全管理中心(CNAAC)宣布将对申请上架的APP进行全方位的安全检测,对检测合格的APP授予“CNAAC应用安全标识”,作为认证APP符合国家安全管理规范的官方证明。总而言之,企业必须在软件或者APP推出市场前将安全漏洞最小化。
陈玉贞认为,鉴于上述市场的变化,中国软件行业对安全的思维模式急需转变,从零散补救到注重全面、安全的软件开发生命周期(SDLC)。这正是新思科技软件质量与安全部门(SIG)的技术、解决方案及服务专注的领域。
新思科技曾经做过一个统计,结果显示,如果在最早研发写代码阶段修复一个bug代价是一倍,那么在发布阶段再修复bug的成本可能已经上升了几十倍。
“在数字时代,企业越来越依赖软件,而软件的缺陷也带来了风险。新思科技软件质量与安全部门把最强大的产品和服务结合到一起,创建出一套全面的平台,为企业提供在整个SDLC过程中检测和修复缺陷所需要的一切东西,从而消除风险,防患于未然。”杨国梁表示。
陈玉贞看好新思科技的未来,认为新思科技软件质量与安全部门在中国将具有巨大的商业潜力,因为网络安全投资通常占中国企业IT投资总额的不到1%;而国外成熟市场则更重视安全,占其IT总预算的15%。“新思科技软件质量与安全部门将提供全面的软件安全解决方案,全力支持中国业界快步跨进新数字时代,蓬勃发展。”
