数字时代,软件已进入大众日常生活的方方面面。软件研发需求不断攀升,软件开发量也呈几何基数增长。开源代码的使用大幅度提高了软件研发效率、降低开发成本。但也为软件带来巨大的安全风险。如何应对开源生态下越发严峻的安全威胁是每个网络安全企业的责任与挑战。
日前,我们采访了专注于软件源代码信息安全业务的高新技术企业北京酷德啄木鸟信息技术有限公司,就数字时代软件源代码信息安全展开探讨。
实现软件源代码信息安全,酷德啄木鸟做了哪些努力?
酷德啄木鸟:如今,国内的安全领域处于高速增长阶段,而过去源代码检测市场都是国外的产品,像美国,以色列等,酷德啄木鸟是国内首批关注并实践代码安全的厂商,国内传统安全都是在软件上线之后才开始做,没有从源头和代码最底层解决问题,而源代码检测是最好的解决方案。
作为国内首批代码安全厂商, 酷德啄木鸟产品功能是在软件开发阶段,通过静态检测技术,提早发现软件代码缺陷,提早把漏洞弥补掉,这样就能帮助有软件开发需求的企业把安全做得更主动,更全面、更低风险。
数字技术高速发展,软件源代码信息安全领域该如何应对复杂的安全威胁和升级的安全挑战?
酷德啄木鸟:数字环境下,诸多企业把消除“孤岛”作为业务功能晋级的重点目标,打破壁垒成为企业中各部门衔接乃至外部衔接的重要举措,这当中辅助实现的新功能开发需求也在不断攀升,随之而来的安全隐患顺势而曾。
除此之外,我们发现近两年开发安全需求不仅存在于国有单位,有向民营企业下沉趋势,也是国内网络安全普及的成果。在波谲云诡的世界经济环境之下,网络安全问题层出不穷,软件源代码信息安全就像软件的“基建”,关乎企业业务运作安全,是企业数字化之路的基本条件。
Gartner 报告曾指出,在当前 DevOps 之类的开发模式下,应用程序中大部分代码是被“组装”而不是“开发”出来的。据其统计,超过 95% 的组织在业务关键 IT 系统中都主动或被动地使用了重要的开源软件(OSS)资产;开源安全性不容乐观,它已成为软件供应链安全问题增长的重要因素。
近些年我国已出台了一系列针对软件供应链安全的法规和标准,但包括风险的发现、分析、处置、防护等能力在内的软件供应链安全管理水平仍有待继续提升。
从政策层面来看,建立国家级/行业级软件供应链安全风险分析平台,健全标准,具备系统化、规模化的软件源代码缺陷和后门分析、软件漏洞分析、开源软件成分及风险分析等能力,及时发现和处置软件供应链安全风险。
从软件厂商来看,建议软件厂商尽早搭建软件安全开发平台,提高安全意识,注重安全人才培养。严格管上下游供应链开源软件或代码的使用,将有效控制代码生产环境下的风险,酷德啄木鸟软件成分分析系统——“析微”可有效帮助企业实现软件研发供应链安全管理,帮助开发人员在整合第三方软件时,处理潜在的安全问题。系统通过分析应用软件包中的成分,包括软件来源、授权许可方式、版本号等信息,并对比漏洞库,判断检测包是否包含已知漏洞。帮助用户掌握开源软件资产信息,及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,保障企业交付更安全的软件。
酷德啄木鸟未来的战略方向?
酷德啄木鸟:酷德啄木鸟未来仍坚持开发安全以及软件供应链安全方向,不断扩充产品线以及提升技术能力。例如,我们开发的CodePecker源代码存储系统(简称“慧存”)可以和公司的白盒以及SCA产品组合成一套针对软件外包开发的供应链安全解决方案。针对软件主要外包开发的客户实现从代码存储、版本管理,代码安全以及开源安全的全套解决方案。酷德将始终坚持以创新能力带动技术升级,注重安全领域人才培养,切实关注市场和政策动向以及当下用户痛点。致力利用安全领域高精尖技术,打造专业、小而美的技术成熟型企业。未来,酷德啄木鸟将投身数字经济环境,参与和见证国内安全事业崛起,与众多安全厂商合作共赢筑建中国网络安全“防火墙”。
评论