新思科技亮相2019第二届世界物联网安全峰会 打开
杨国梁的演讲给物联网安全带来了新的解题思路,他呼吁人们重视起过去容易忽略的开源代码安全,在现场赢得很多听众的认可和掌声。会议间隙,51CTO记者采访了杨国梁,请他分享新思科技在物联网安全领域的思考与判断。
将安全内置到物联网
记者了解到,新思科技成立于1986年,至今已有30多年历史,自2014年起,新思科技收购了一系列做软件安全的公司,开始针对企业级市场提供研发阶段的安全测试服务。这其中既包括提供安全测试工具,开源组件的治理工具,也提供白盒、代码审计、自动化之类的工具,还可以满足客户咨询,提供渗透测试服务、托管测试服务,以及安全成熟度的评估等,总之都是为了一个共同的目标,就是帮助客户更快更安全进行软件创新。
之所以聚焦物联网安全,是因为新思科技看到了物联网潜在的庞大安全需求。杨国梁告诉记者,物联网需要无数的软件来支撑。但是开发人员往往更关注他们创建的软件代码,而忽略了使用的开源代码,导致黑客有机可乘。不久前,黑客窃取了分析服务Picreel和开源项目Alpaca Forms的数据,并修改了它们的JavaScript文件,进而在超过4,600个网站上嵌入恶意代码,这正是忽略开源代码安全的典型例子。
“未修补的软件漏洞是企业面临的最大网络威胁之一,软件中未修补的开源组件会增加安全风险。”他告诉记者,在2018年审计的代码库中,有60%至少含有一个漏洞,虽然比例不低,但却远远好于2017年的78%。
那么为什么会提出要“内置安全”这样的理念呢?杨国梁解释道,安全和性能其实在某种程度是博弈的状态,在物联网高速发展的大趋势下,很少有厂商愿意为了安全在功能或性能上做让步。但是传统的安全防护工具如防火墙、入侵检测,大多都是做边界防护安全,并不能很好地适用于无边界或者边界日趋模糊的物联网应用环境,所以最好的方法就是在产品研发阶段,从写源代码开始,就做得足够健壮,减少对外界防护工具的依赖。如此一来,既提升了安全防护水平,又不会牺牲产品性能,导致未来一旦遭遇安全威胁,只能亡羊补牢事后补救。
其实在开源代码阶段就介入安全还有一个好处。众所周知,物联网是一个非常庞大的领域,各行各业的产品形态都不尽相同,如果是生成产品后再部署安全解决方案,那么解决方案必须要匹配各个行业属性,做定制开发。但是做开源代码安全就不同了,它是从整个开发流程角度实现安全,无论是设备端的开发,还是后端的开发,无非总是遵循设计、研发、测试、发布这样的一个流程,新思科技只要针对这些流程的每一个环节,提供自动化的测试工具,就可以实现高水准的安全质量,可以说是覆盖所有行业安全需求,更易用更便捷更专业了。
同是代码安全,新思科技出众之处在哪?
其实国内做代码安全的公司并不在少数,为什么新思科技的代码安全更让客户放心呢?对此杨国梁总结了两点。
首先,新思科技提供的是自动化的检测工具,企业不需要去依赖于厂商某一个能力突出的专家,对厂商人员的依赖很小,代码输出质量是很稳定的,服务更值得信赖。
其次,从流程来看,很多提供代码安全检测的公司往往是在产品开发工作结束之后,才开始介入做代码检测和修复。一旦发现漏洞,就需要溯源查找研发各个环节,找到修复之后再做回归测试,验证流程再走一遍,检测周期非常长。但是新思科技却不同,他提供的是一个自动化工具,开发人员可以在任何时间任意模块开发工作告一段落时来进行检查,一旦发现有严重安全问题,就可以及时修正,时效性大大提升。
当谈到目前国内客户的接受程度时,他告诉记者,像高科技、物联网、设备商、互联网等行业市场的前沿客户和第一梯队的客户接受程度非常高,大家基本都达成共识,从代码开发这个源头就开始注重安全防护能力。
| 广告位 |
