作者 | 梁宇寧、Gavin Bu
頭圖 | CSDN 下載自東方 IC
出品 | CSDN(ID:CSDNnews)
看到這篇文章的時候,作為 CTO 尤其是在中國的你,是否正在為不能夠及時復工短兵缺將而發愁?又或許你正在努力地管理在家辦公的團隊來保證業務系統及時上線?
確實,這次在武漢爆發的新型冠狀病毒(COVID-19)感染的肺炎疫情對社會和經濟發展造成的阻礙,遠遠超過我們的預期。這次突發的公共衛生事件就好比一次由於軟件漏洞而造成的軟件安全事件,而我們該從中汲取怎樣的經驗和教訓呢?
是內憂還是外患?
每一天,軟件研發人員特別是產品經理、QA、CTO 們都在高度關注產品上線情況,為了增加線上日活量嘔心瀝血、絞盡腦汁,為了滿足業務的需求和交付期限,他們常常會忽視系統裡仍然存在的隱患——那些 Blocker Bug 靜靜地躺在那裡無人問津。
質量檢查團隊為了追趕測試計劃,通常會導致缺乏對程序的全面分析。一些欲言又止的 QA 只能望著上線倒計時牌無可奈何。軟件成功上線皆大歡喜,直到軟件漏洞被黑客惡意利用。
通過安全編碼方法或使用正確的源代碼分析工具能儘早發現漏洞。扁鵲有句名言:君有疾在腠理,不治將恐深。換句話說,最好的醫師是防止患者生病,而不是在患者病情加重時去試圖挽救他們。疾病如此,更何況軟件合規性和安全性,這就是為什麼在 SDLC 中“左移”測試正被廣泛採用。一個重要的教訓是“不要把安全留到最後”。
導致軟件安全事件的原因到底是什麼?
毛主席在他的著作《矛盾論》中提到“事物發展的根本原因,不是在事物的外部而是在事物的內部,在於事物內部的矛盾性。外因是變化的條件,內因是變化的根據,外因通過內因而起作用。”
企業組織首先採取的(有時是唯一的)行動是保護自己免遭受來自外部的攻擊。很多企業一貫注重殺毒軟件、防火牆、加固等防範外部侵入的可能,但卻往往忽視企業研發人員本身的整體素質培養和代碼質量的管理。企業的防火牆可以被攻破,但如果代碼是安全的,則攻擊者可能沒有機會利用其入侵。
不安全的應用程序可能導致數據洩露,丟失服務,拒絕服務,系統損壞,所有這些都可以使企業損失數百萬美元。這裡的教訓就是確保設計安全作為標準的工作方式。
公司有高準確率的“核酸檢測試劑”嗎?
新聞報道稱新冠肺炎的核酸檢測準確率並不是 100%,這說明檢測的結果可能是混雜著假陽性和假陰性的患者。假陽性是錯誤的檢測到某個特定條件下的結果。假陰性說明病毒未被檢測到,但病人實際已感染。對於假陽性的患者來說,醫師們不得不花費更多的時間和使用不同醫學檢測手段來逐一排除每個假陽性患者。這無疑是在浪費資源和時間。
另一方面,一旦患者沒有被限制行動範圍,“假陰性”將導致病毒繼續傳播的嚴重後果。
反觀軟件應用程序安全測試(SAST)的過程中,發人員需要能夠以較少的假陽性和假陰性來提供高度準確的缺陷識別工具。靜態代碼分析用於通過安全編碼標準(例如 CERT)在 SDLC 的早期識別缺陷,該標準使用來自全世界的方法來幫助避免編寫不安全的代碼。
所有 CTO 和開發人員都應該問自己一個問題:我們是否有最合適的“核酸檢測試劑”來定位系統中的漏洞?這裡的教訓是你需要一個好的靜態代碼分析工具來完成這項工作。
如何避免遭遇公司級的“COVID-19”?
1. 拋棄僥倖心理,堅持質量第一的心態。
不能急功近利去看待對於質量管理體系提升的投入產出比,也不是說有了某套系統就希望每年來一次“疫情”讓它發揮偉大作用。而是要長遠看到這個體系的投資效益。
2. 建議加大對於安全質量管理體系的投入。
提高開發人員的安全編碼態度和技能,以便他們在編寫代碼的同時檢查漏洞。雖然存在早期投入,但這是公司整體運營質量的提高,是公司應對風險能力的提升。設計安全性應該成為研發人員的第二天性。
3. 嚴格控制質量,並使用靜態代碼分析工具。
這些工具可以儘早發現軟件中的缺陷和潛在風險,具有很高的準確性。
作者簡介:梁宇寧,現任上海鑑釋科技公司 CEO,主要精力投入到計算機科學的核心基礎技術中,以幫助工程師提高編程知識,並優化全球軟件的質量和安全。
Gavin Bu,現任上海鑑釋科技公司商務總經理,主要負責客戶整體解決方案和打造以客戶為中心的服務體系,目標是為客戶更高質、更卓越的業務運轉而創新。在鑑釋,我們使用編譯器深度分析技術,來檢測代碼的合規性和漏洞。我們的解決方案可以無縫集成到應用於軟件開發過程,以幫助開發人員更早,更準確地發現缺陷。
閱讀更多 CSDN 的文章
