近日，新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁與媒體分享了新思科技關(guān)于2019年軟件安全行業(yè)的一些預(yù)測(cè)以及新思科技的發(fā)展計(jì)劃等。

2019年軟件安全行業(yè)預(yù)測(cè)

楊國(guó)梁表示，軟件設(shè)計(jì)和標(biāo)準(zhǔn)的安全性亟待規(guī)范。現(xiàn)在大部分軟件仍然主要是在沒有正式標(biāo)準(zhǔn)和流程的情況下編寫的。

通常軟件開發(fā)并不是標(biāo)準(zhǔn)化、可重復(fù)的工作。現(xiàn)在開源軟件非常流行，未來如何保證基于開源軟件的通用構(gòu)建模塊的安全是業(yè)界關(guān)注的焦點(diǎn)。此外，垂直領(lǐng)域軟件開發(fā)標(biāo)準(zhǔn)將更快出現(xiàn)。

因?yàn)楝F(xiàn)在軟件在行業(yè)中的重要性越來越重要，特別是那些關(guān)鍵行業(yè)，比如汽車等。我們會(huì)將更多的努力放在標(biāo)準(zhǔn)、可審計(jì)性和問責(zé)制上，金融服務(wù)、區(qū)塊鏈以及移動(dòng)解決方案安全性等領(lǐng)域也有機(jī)會(huì)執(zhí)行這樣的標(biāo)準(zhǔn)。

2019年，我們可能看到垂直市場(chǎng)組成聯(lián)盟，以建立更多面向特定領(lǐng)域的安全標(biāo)準(zhǔn)，并改善信任和互換性。其中大部分可以基于開源組件構(gòu)建。

隨著經(jīng)濟(jì)的增長(zhǎng)，各大企業(yè)也面臨著新的競(jìng)爭(zhēng)壓力。這迫使企業(yè)需要重新武裝自己。數(shù)字化如火如荼，新的云環(huán)境也正在改變企業(yè)部署APP的方式。因此，企業(yè)需要在APP應(yīng)用和軟件安全方面保持警惕。新思科技預(yù)計(jì)將會(huì)有更多投資會(huì)放在云端安全上。此外，給員工普及應(yīng)用安全和軟件安全的概念以及這方面的培訓(xùn)需求也會(huì)越來越多。

現(xiàn)在人工智能技術(shù)已經(jīng)隨處可見，滲透到我們生活的方方面面。那AI/ML（人工智能與機(jī)器學(xué)習(xí)）能為軟件安全和網(wǎng)絡(luò)安全做什么呢？網(wǎng)絡(luò)安全很重要的一部分是數(shù)據(jù)關(guān)聯(lián)和分析。這就需要具備基于多個(gè)不同的數(shù)據(jù)源來查找單個(gè)威脅和威脅活動(dòng)以及執(zhí)行威脅行動(dòng)者歸因的能力。

AI/ML可以通過數(shù)據(jù)建模和模式識(shí)別來提高以上過程的速度、規(guī)模和準(zhǔn)確性。然而，很多刊出的文章都對(duì)此表示懷疑和擔(dān)憂。有的時(shí)候，企業(yè)可能會(huì)有一種安全的假象，但是事實(shí)并非如此。我們還需要更多時(shí)間和投入完善數(shù)據(jù)模型和模式識(shí)別，以確保AI/ML技術(shù)能夠有效提升軟件安全。

我們應(yīng)該期待看到大公司繼續(xù)投資AI/ML技術(shù)。與此同時(shí)，宣傳AI/ML能力的初創(chuàng)企業(yè)也將在2019年繼續(xù)崛起。但是，可能還需要幾年時(shí)間才能完全實(shí)現(xiàn)AI/ML的真正愿景。

在亞太地區(qū)，許多國(guó)家正在推進(jìn)智慧城市和智能國(guó)家計(jì)劃。這也為新一輪的IoT網(wǎng)絡(luò)攻擊提供了機(jī)會(huì)。不法分子可以利用數(shù)據(jù)中毒進(jìn)行攻擊，其中的錯(cuò)誤信息將通過部署在目標(biāo)城市或全國(guó)范圍內(nèi)的傳感器影響決策。我們還將看到一些舊問題仍然存在：硬編碼憑證和未修補(bǔ)的組件，沒有良好設(shè)計(jì)的空中下載技術(shù)（OTA）更新以及持續(xù)更新策略。

此外，針對(duì)醫(yī)療和零售業(yè)的攻擊將增多，因?yàn)檫@些行業(yè)正在利用數(shù)據(jù)加速價(jià)值實(shí)現(xiàn)。企業(yè)對(duì)開發(fā)人員使用第三方應(yīng)用程序編程接口（API）的敏感性提高，它是絕大多數(shù)IT企業(yè)的盲點(diǎn)，類似于十年前的開源使用。大多數(shù)公司都了解確保他們發(fā)布的API免受外部攻擊的重要性，但很少有公司會(huì)通過從內(nèi)到外調(diào)用第三方API來跟蹤他們自己的代碼在Web服務(wù)的使用。依賴第三方服務(wù)的方式還存在其它法律和業(yè)務(wù)風(fēng)險(xiǎn)。公司還必須考慮到他們可能無意中傳遞到防火墻外的未知和不受信任來源的機(jī)密數(shù)據(jù)。

現(xiàn)在有許多質(zhì)量和安全解決方案，每個(gè)都有自己的目的、優(yōu)勢(shì)和產(chǎn)生的數(shù)據(jù)。可能是滲透測(cè)試、日志監(jiān)控和入侵檢測(cè)，或自動(dòng)化軟件安全測(cè)試解決方案。雖然功能和技術(shù)不斷發(fā)展，但它們也會(huì)創(chuàng)造出更多的信息和數(shù)據(jù)點(diǎn)。2019年，我們需要的并不是更多數(shù)據(jù)，而是更好的決策支持。其實(shí)，關(guān)鍵是將這些數(shù)據(jù)融合在一起，以制定基于風(fēng)險(xiǎn)和業(yè)務(wù)的決策。

楊國(guó)梁說，2019年，軟件將繼續(xù)在我們的日常生活和工作中發(fā)揮越來越重要的作用。我們需要工具和支持將安全性貫穿到整個(gè)軟件開發(fā)周期、公司文化和業(yè)務(wù)流程的各個(gè)方面，從而確保公司更快地構(gòu)建安全、高質(zhì)量的軟件。

新思科技發(fā)布最新版Coverity

除了對(duì)于2019年的預(yù)測(cè)，新思科技還發(fā)布了其最新版的Coverity靜態(tài)應(yīng)用安全測(cè)試（SAST）解決方案，這能幫助各類機(jī)構(gòu)更快地構(gòu)建安全的應(yīng)用程序。Coverity最新版本解決了企業(yè)應(yīng)用安全開發(fā)團(tuán)隊(duì)日益增長(zhǎng)的三大需求：可擴(kuò)展性、多種編程語言和框架支持，以及全面的漏洞分析。

為企業(yè)安全團(tuán)隊(duì)提供可擴(kuò)展的SAST

Coverity使得企業(yè)能夠?qū)AST工作擴(kuò)展到大型應(yīng)用程序組合。最新版的Coverity包含一項(xiàng)名為‘無需構(gòu)建即獲得分析結(jié)果’的功能，使安全團(tuán)隊(duì)能夠快速、容易地分析成千上萬的應(yīng)用程序。安全團(tuán)隊(duì)現(xiàn)在可以簡(jiǎn)單地將Coverity指向源代碼項(xiàng)目，并在幾秒內(nèi)開始分析，而無需先為每一個(gè)應(yīng)用程序執(zhí)行完整的構(gòu)建操作。與其他SAST解決方案不同，Coverity會(huì)自動(dòng)檢測(cè)項(xiàng)目類型，并獲取通常在構(gòu)建過程中包含的從屬關(guān)系。使用這項(xiàng)新功能可確保分析工作的全面性，并且無需手動(dòng)指明各種從屬關(guān)系。

廣泛的編程語言和框架支持

用于構(gòu)建應(yīng)用程序的編程語言和框架的生態(tài)系統(tǒng)正在擴(kuò)展，因此SAST工具需要了解每一種語言和框架的操作方式才能有效。為了滿足具有不同應(yīng)用程序組合的企業(yè)需求，新思科技大大擴(kuò)展了Coverity的編程語言和框架覆蓋范圍。最新版的Coverity增加了對(duì)TypeScript、 .NET Core、Swift 4.1和Ruby on Rails的支持，以及針對(duì)Java、 JavaScript、C#等50多種不同框架的支持，其中包括Angular、React和 Vue。

全面的漏洞分析

Coverity分析引擎利用各種技術(shù)以不同方式來查看代碼，從而找到最具可操作性和關(guān)鍵性的安全漏洞。為了應(yīng)對(duì)日益普及的框架，最新版的Coverity含大幅度改進(jìn)的框架分析功能，使得用戶能夠更加準(zhǔn)確地檢測(cè)客戶端和后端web服務(wù)的漏洞。Coverity現(xiàn)在還可以分析JavaScript框架模板，這是一種流行的客戶端數(shù)據(jù)綁定方式。Coverity現(xiàn)在可以掃描從這些模板中動(dòng)態(tài)生成的HTML，以查找其他跨站點(diǎn)腳本漏洞。