2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明目前仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。
新思科技发布《2019年开源安全和风险分析》(OSSRA)报告显示,现在企业面临着开源应用风险管理的挑战。这些难题虽然在过去几年就已显露出来,但数据表明现在到达拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合法、合规的角度出发,理解和管理它如何影响其风险态势。”
“对于一家主要面向ToB市场的企业来说,在掌握开源应用趋势和模式后,如何更好地为客户服务是新思科技推出OSSRA报告的初衷,更是新思科技根据客户需求,从白盒(静态代码分析)到开源组件治理、应用式的安全测试,从对未知漏洞的挖掘测试到渗透测试服务、托管测试服务、安全成熟度评估等方方面面的测试工作,帮助客户更快、更好、更安全地打造他们的软件王国。”新思科技软件质量与安全部门高级安全架构师杨国梁认为“安全性已经不是一个企业或者一个行业必须面临的挑战,它是物联网时代下所有行业向更高效、更可靠发展的必然。”
Secure Software的本质
随着物联网的高速发展,应用场景呈现野蛮生长的态势。这种情况不可避免,某种程度上讲,安全与功能之间是存在冲突的。企业可能为了确保安全,会在现实应用中牺牲功能的便利性,从而影响整个方案的实施。
新思科技所强调的安全与传统意义上的安全,比如防火墙、入侵测试不是一个概念。传统意义上安全是security software,其本身就是一个software,它存在的目的就是确保用户的安全,确保的方法可能就是给用户加边界的防护。
新思科技要做的不是security software,而是secure software。比如之前客户需要依赖防火墙才能防止某种攻击,通过应用新思科技的解决方案和服务secure software,从客户研发的源代码角度切入,通过修改源代码的方式实现software自身足够的强大。
Shift Left的内涵
最新的OSSRA报告中还提到,许多组织未能修补或更新其开源组件。“2018年黑鸭审计中确定的漏洞的平均年龄是6.6年,略高于2017年。这表明补救措施没有显著改善。2018年扫描的代码库中有43%包含超过十年以上的漏洞。国家漏洞数据库(National Vulnerability Database)显示2018年增加了16,500个新漏洞,其明确的修补流程需要扩展以适应增加的披露漏洞。”
从报告提供的数据不难看出,一个企业级的应用是一个识别、保护和管理的综合体。如果开源组件本身出现漏洞,一定会在第一时间影响企业产品的性能及后续应用。
新思科技为客户提供一个自动化的工具,保证客户在任何时间点、自如操作,不需要等到代码完成后再进行识别、保护和管理。新思科技提出Shift Left的概念,左移,意味着新思科技提供的自动化工具可以帮助客户每天自动扫描代码,在“左”边完成检测,在生产、发布、部署这些右边的系列动作发生之前,实现检索,最大限度地保证客户输出质量的稳定性,从而缩短查缺补漏的周期。
Policy的共识
高科技、物联网、互联网公司,这些行业头部企业均是新思科技的主要客户。想要在物联网世界里乘风破浪,开源代码的安全使用是这些头部企业必须正视的问题,布局物联网应用,必须在policy上达成共识——积极主动地进行开源管理,在代码源头将安全内置在物联网中。
“比如,我们经常提到的白盒测试,在客户policy安全构建的基础上,通过详尽的方案,用自动化工具扫描,客户可以在具体路径中快速发现可能触发的问题,再通过正确的逻辑和函数,实现安全测试,保证客户SDLC(Security Development Lifecycle)的顺利运转。”这本身就是安全内置的现实体现。
从某种意义上说,只有客户的policy安全共识建立起来,物联网开源代码的安全测试才具有实际意义:当一组开源组件开始扫描,新思科技的自动化工具会在后台帮助客户检测,如果违背了客户policy,会自动提示客户这个不能用,并能主动规避。反之,会继续……
当开源代码得到持续性的安全监控,对物联网企业来说就已经拥有了一个业务驱动的立足点,这何尝不是一次事半功倍的改造升级。
《中国自动识别技术》2019年第4期总第79期