極客網·極客訪談6月15日,當前,在全球都在大力發展互聯網經濟、數字經濟的背景下,網絡安全快速成為了最熱門也最令人頭痛的話題。而在愈發凸顯的“軟件定義世界”、“數據驅動未來”等發展趨勢下,應用軟件和跑在上面的數據的安全更顯得尤為重要起來。
日前,在發佈其靜態代碼分析工具最新版本——Coverity 201806的媒體溝通會上,美國新思科技公司 (Synopsys, Nasdaq: SNPS)軟件質量與安全部門的高級安全架構師楊國樑告訴極客網,“現在似乎大家談得較多的是數據安全,但其實數據不安全其實是一種結果,它的原因在於處理這些數據的應用軟件寫得不健壯、裡面有問題,存在被黑客利用而導致數據被竊取。“
言下之意,比起已經引發高度共識的數據安全,楊國樑認為應用軟件的安全也值得業界警醒和重視。他表示,“Coverity專注的代碼層面的安全檢測,就是為了從源頭上儘量規避、解決這類問題,把風險問題扼殺在to B階段,而不是等到to C推向市場時才發現。”
楊國樑提到Coverity靜態代碼分析工具,是新思科技軟件質量與安全部門的主打產品之一,該工具致力於為企業的軟件開發提供在整個SDLC(軟件開發生命週期)過程中檢測和修復缺陷所需要的東西,從而消除風險、防患未然。Coverity在其專業領域享有高認可度,已被權威市場調研機構Gartner 和Forrester幾度評為“靜態應用安全測試領導者”。
楊國樑解釋稱,Coverity可以迅速分析超過一億行的大型代碼庫,在出現漏洞、系統崩潰之前就檢測出潛在危險,可以大幅減少維修花銷,幫助企業降低成本和風險。迄今,Coverity已經幫助上千家企業防患於未然,推動他們更快地將產品投入市場。
楊國樑告訴極客網,網絡安全是一個快速變化的動態市場,客戶需求日新月異,為了幫助用戶更有效地應對挑戰,Coverity每年都會進行兩次重大升級,以及一些小修小補升級。Coverity 201806是該工具的最新版本,目前已在中國與全球同步更新發布,主要帶來四個方面的升級:
第一,Coverity 201806關聯了在線學習平臺e-learning,方便研發人員參加相關培訓課程,豐富工作所需知識。
第二,Coverity 201806增強了Spectre(幽靈) 安全漏洞檢查功能,識別易受幽靈攻擊的應用程序代碼模式;
第三,Coverity 201806新增或更新了對行業標準的支持,包括Cert C++ 2016、MISRA C 2012 TC1:2017和OWASP Top 10 2017;
第四,新增或更新了對編碼語言和框架的支持,更精準地識別Python、Java和Swift中漏洞。
其中,最讓極客網印象深刻的是第一點,如果說其他三點還是“常規”完善,那麼Coverity與e-learning的關聯則算得上重大更新。據楊國樑介紹,新思科技的eLearning平臺是一種以結果為導向、以學習者為中心的培訓解決方案,其包含37種課程,廣泛覆蓋應用安全領域話題,比如風險分析、認證、安全標準、面向網絡和移動應用的防禦性編程、威脅建模和安全測試策略等等。
在他看來,這一關聯至少帶來兩大好處:其一,能夠根據常見缺陷列表(CWEs,安全漏洞詞典)為開發人員提供上下文相關的應用安全課程;其二,基於最高置信水平算法,專有漏洞分析工具可以將檢測出來的漏洞與常見缺陷列表進行匹配,進而推薦相關的學習內容。套用時髦話術,極客網認為這有點智能推薦、精準匹配的意思,再往後發展就是深度學習、人工智能,不排除發展到某一天實現更高效、直接的問題解決方案——比如說直接呈現可供選擇的參考答案或解決思路。
面向未來,新思科技的Coverity工具究竟會不會進化到深度學習後自動解決問題的階段呢?工程師的嚴謹讓楊國樑對此“諱莫如深”,但透露新思科技近幾年的總體研發支出水平佔到公司營收的30%,未來將持續投入技術創新,應對日趨複雜的網絡安全環境,護航企業應用軟件的安全之旅。
閱讀更多 極客網 的文章
