新思科技发布《2019年开源安全和风险分析》（OSSRA）报告显示，现在企业面临着开源应用风险管理的挑战。这些难题虽然在过去几年就已显露出来，但数据表明现在到达拐点，由于风险意识和商业软件组件分析解决方案成熟度的提高，许多企业提升了其管理开源风险的能力。“开源在现代软件开发和部署中发挥着越来越重要的作用，但要实现其价值，企业需要从安全性和许可证合法、合规的角度出发，理解和管理它如何影响其风险态势。”

“对于一家主要面向ToB市场的企业来说，在掌握开源应用趋势和模式后，如何更好地为客户服务是新思科技推出OSSRA报告的初衷，更是新思科技根据客户需求，从白盒（静态代码分析）到开源组件治理、应用式的安全测试，从对未知漏洞的挖掘测试到渗透测试服务、托管测试服务、安全成熟度评估等方方面面的测试工作，帮助客户更快、更好、更安全地打造他们的软件王国。”新思科技软件质量与安全部门高级安全架构师杨国梁认为“安全性已经不是一个企业或者一个行业必须面临的挑战，它是物联网时代下所有行业向更高效、更可靠发展的必然。”

 

   

 

随着物联网的高速发展，应用场景呈现野蛮生长的态势。这种情况不可避免，某种程度上讲，安全与功能之间是存在冲突的。企业可能为了确保安全，会在现实应用中牺牲功能的便利性，从而影响整个方案的实施。

新思科技所强调的安全与传统意义上的安全，比如防火墙、入侵测试不是一个概念。传统意义上安全是security software，其本身就是一个software，它存在的目的就是确保用户的安全，确保的方法可能就是给用户加边界的防护。

新思科技要做的不是security software，而是secure software。比如之前客户需要依赖防火墙才能防止某种攻击，通过应用新思科技的解决方案和服务secure software，从客户研发的源代码角度切入，通过修改源代码的方式实现software自身足够的强大。

 

最新的OSSRA报告中还提到，许多组织未能修补或更新其开源组件。“2018年黑鸭审计中确定的漏洞的平均年龄是6.6年，略高于2017年。这表明补救措施没有显著改善。2018年扫描的代码库中有43%包含超过十年以上的漏洞。国家漏洞数据库(National Vulnerability Database)显示2018年增加了16,500个新漏洞，其明确的修补流程需要扩展以适应增加的披露漏洞。”

从报告提供的数据不难看出，一个企业级的应用是一个识别、保护和管理的综合体。如果开源组件本身出现漏洞，一定会在第一时间影响企业产品的性能及后续应用。

新思科技为客户提供一个自动化的工具，保证客户在任何时间点、自如操作，不需要等到代码完成后再进行识别、保护和管理。新思科技提出Shift Left的概念，左移，意味着新思科技提供的自动化工具可以帮助客户每天自动扫描代码，在“左”边完成检测，在生产、发布、部署这些右边的系列动作发生之前，实现检索，最大限度地保证客户输出质量的稳定性，从而缩短查缺补漏的周期。

 

 

高科技、物联网、互联网公司，这些行业头部企业均是新思科技的主要客户。想要在物联网世界里乘风破浪，开源代码的安全使用是这些头部企业必须正视的问题，布局物联网应用，必须在policy上达成共识——积极主动地进行开源管理，在代码源头将安全内置在物联网中。

“比如，我们经常提到的白盒测试，在客户policy安全构建的基础上，通过详尽的方案，用自动化工具扫描，客户可以在具体路径中快速发现可能触发的问题，再通过正确的逻辑和函数，实现安全测试，保证客户SDLC（Security Development Lifecycle）的顺利运转。”这本身就是安全内置的现实体现。

从某种意义上说，只有客户的policy安全共识建立起来，物联网开源代码的安全测试才具有实际意义：当一组开源组件开始扫描，新思科技的自动化工具会在后台帮助客户检测，如果违背了客户policy，会自动提示客户这个不能用，并能主动规避。反之，会继续……

当开源代码得到持续性的安全监控，对物联网企业来说就已经拥有了一个业务驱动的立足点，这何尝不是一次事半功倍的改造升级。