在软件开发生命周期中集成软件安全测试和相关的检查活动,是目前业内试图在软件设计和开发阶段就构筑的“内建的”安全能力。通过这种方式,以期在源头就实现应用对常见安全隐患的规避。年营收超过
成立于1986年的Synopsys,以电子设计自动化(EDA)业务起家,核心业务目前还包括IP,以及硬件之上的软件质量与安全。2016年,Synopsys以凭借全球超过26亿美金的年营收,超过4亿行的代码积累,使其成为全球第十五大软件公司。在人才和技术创新方面的投入,Synopsys也是不吝惜一丝一毫的。据统计,其全球工程师总人数超过7500人,专利数量超过2700件,研发总投入占其全球年收总数的比例高达1/3。
从硬件,到软件,再到“安全的软件”,尤其在物联网设备数量开始爆发式增长,同时安全威胁日益严峻的今天,指导着Synopsys最新的业务发展方向——软件质量与安全。
回到中国市场,移动网络的快速发展,电子支付的盛行,智能硬件和家电的普及,在这些IT技术和应用飞速发展表象下的,是用户的数据泄露的担忧,与IT成熟度较高的国家15%安全投入的差距,以及监管机构对于数据安全强烈且刚性的合规要求。
Synopsys认为,在企业对软件的开发、测试和采购的全生命周期,以应用安全测试(AST)为核心,辅以对软件代码组成的分析与监控、用以对软件安全性计划(SSI)自检的内置安全成熟度模型(BSIMM)等服务,是防患软件安全风险于未然的重要方法和途径。
这种需求,目前尤以强监管的金融和移动支付、暴露过重大安全隐患的智能网联汽车和医疗设备制造,以及曾被黑客利用发起恶意攻击的物联网等行业,最为突出和强烈。这些,也是Synopsys软件质量与安全的客户分布目前最为集中的几大行业。
“针对应用的安全缺陷进行分析和测试的产品及服务”,是Gartner对应用安全测试(AST)的定义。目前主要技术实现,分为静态(SAST)、动态(DAST)和交互式(IAST)三种。综合Synopsys在这一领域的技术实力和潜力等因素,Gartner在今年2月的AST魔力象限中,将Synopsys作为这一领域的领导者进行推荐。
作为提供完整应用安全测试解决方案的Synopsys,其技术特点有哪些?Synopsys软件质量与安全部门高级安全架构师杨国梁,向记者做了简单的概括性介绍。
静态代码分析,白盒测试,可以进行代码的语义和缺陷分析,主要针对研发人员。支持主流SDLC方案的集成,需要分析的代码可以在夜间提交到构建服务器,Coverity平台的分析结果在第二天早上就可以给到研发人员。
Coverity每年会有两个大版本更新,目前支持语言包括C/C++、C#等14种,对主流的操作系统同和编译器都有较广泛的支持。
开源软件方面,Synopsys从2016年开始为开源社区免费提供Coverity Scan服务,目前有超过4600个开源项目用户。
黑盒测试,不需要软件源代码,针对测试和安全人员,在产品完成后,进行协议级别的模糊测试,和版本迭代测试。目前支持250+的协议(如下图所示,可按行业、技术领域进行检索),以及厂商私有协议的SDK支持。
交互式介于白盒和黑盒测试之间,也可称之为灰盒测试,不需要源码,但是可以提供代码级问题定位的精准测试结果。通过在Web服务器代理的方式,对数据流进行监控。优点在于零误报(安全问题均得到验证后才会告警)、提供针对编程语言及函数的修复建议,以及可简单地实现与现有研发和测试流程方案的集成。
近4成企业会使用第三方组件,而现实要远比这个数字要多。开源软件(OSS)所带来的安全隐患,仍需重点关注。开源代码治理,包括安全漏洞的即使修补,加强对开源代码安全性的警惕意识(安全测试),以及对企业使用的开源组件进行分析和监控。
Apache Struts 2是目前最流行的开源Java Web服务器框架之一。开源项目并不代表安全,这已经在业界达成共识。今年9月,Equifax因未及时对Apache Struts 2的漏洞进行修复,被黑客攻击导致重要公民信用数据泄露,面临4500亿美元的巨额集体诉讼赔偿,CIO、CISO甚至CEO接连引咎辞职。
Gartner也意识到了开源代码的滥用所可能带来的安全隐患和巨大经济损失。
Gartner在今年7月发布的2017重大信息安全技术中,特别指出了面向DevSecOps(注:安全责任由安全团队向开发和运维人员的延伸)的“开源软件安全性扫描和组成分析”技术。而这一能力点,也在Synopsys的软件组成分析(SCA)产品——Protecode中有所体现。包括对代码组件的源码(开源或内部研发组件)或二进制文件(一般为商业代码组件)进行安全性扫描分析,尽早发现潜藏其中的法务和安全风险,并帮助企业搭建代码组件库,进行持续性的安全监控。
同时,Synopsys还在11月初公布了其对专注自动化开源软件保护与管理的黑鸭子软件(Black Duck Software)5.48亿美元的收购协议。整合后的“软件组成分析解决方案”,会对开源代码识别及分析过程的自动化,以及安全漏洞及许可合规问题的检测,有更强更全面的能力支撑。