linux工程师,RHCE
分类: 系统运维
2019-06-10 21:26:00
针对峰会现场众人都很关注的物联网安全落地建设的关键,杨国梁强调,“重视”二字尤为重要。为什么人们驾驶汽车都会系上安全带?就是因为人们意识到安全的重要性,物联网安全领域也同样如此,安全专业人员要意识到安全的重要性,引起足够重视,否则仅仅考虑如何解决安全难题,也不会取得太显著
【51CTO.com原创稿件】日前,2019第二届世界物联网安全峰会在北京成功召开。本届峰会以“亮剑安全,赋能物联新时代”为主题,邀请了300多位物联网行业专家、企业高层以及研究人员,共同分析未来物联网安全的市场趋势,并探讨其未来发展方向。新思科技软件质量与安全部门高级安全架构师杨国梁也受邀参会,并在大会现场带来“Build Security In IOT”的主题演讲。杨国梁指出,设计缺陷、安全漏洞和弱密码等是造成物联网威胁的主要因素,物联网行业需要重视开源代码的安全使用。“企业应该积极主动地去进行开源管理,从一开始就将安全内置在物联网中。”
杨国梁的演讲给物联网安全带来了新的解题思路,他呼吁人们重视起过去容易忽略的开源代码安全,在现场赢得很多听众的认可和掌声。会议间隙,51CTO记者采访了杨国梁,请他分享新思科技在物联网安全领域的思考与判断。
将安全内置到物联网
记者了解到,新思科技成立于1986年,至今已有30多年历史,自2014年起,新思科技收购了一系列做软件安全的公司,开始针对企业级市场提供研发阶段的安全测试服务。这其中既包括提供安全测试工具,开源组件的治理工具,也提供白盒、代码审计、自动化之类的工具,还可以满足客户咨询,提供渗透测试服务、托管测试服务,以及安全成熟度的评估等,总之都是为了一个共同的目标,就是帮助客户更快更安全进行软件创新。
之所以聚焦物联网安全,是因为新思科技看到了物联网潜在的庞大安全需求。杨国梁告诉记者,物联网需要无数的软件来支撑。但是开发人员往往更关注他们创建的软件代码,而忽略了使用的开源代码,导致黑客有机可乘。不久前,黑客窃取了分析服务Picreel和开源项目Alpaca Forms的数据,并修改了它们的JavaScript文件,进而在超过4,600个网站上嵌入恶意代码,这正是忽略开源代码安全的典型例子。
“未修补的软件漏洞是企业面临的最大网络威胁之一,软件中未修补的开源组件会增加安全风险。”他告诉记者,在2018年审计的代码库中,有60%至少含有一个漏洞,虽然比例不低,但却远远好于2017年的78%。
那么为什么会提出要“内置安全”这样的理念呢?杨国梁解释道,安全和性能其实在某种程度是博弈的状态,在物联网高速发展的大趋势下,很少有厂商愿意为了安全在功能或性能上做让步。但是传统的安全防护工具如防火墙、入侵检测,大多都是做边界防护安全,并不能很好地适用于无边界或者边界日趋模糊的物联网应用环境,所以最好的方法就是在产品研发阶段,从写源代码开始,就做得足够健壮,减少对外界防护工具的依赖。如此一来,既提升了安全防护水平,又不会牺牲产品性能,导致未来一旦遭遇安全威胁,只能亡羊补牢事后补救。
其实在开源代码阶段就介入安全还有一个好处。众所周知,物联网是一个非常庞大的领域,各行各业的产品形态都不尽相同,如果是生成产品后再部署安全解决方案,那么解决方案必须要匹配各个行业属性,做定制开发。但是做开源代码安全就不同了,它是从整个开发流程角度实现安全,无论是设备端的开发,还是后端的开发,无非总是遵循设计、研发、测试、发布这样的一个流程,新思科技只要针对这些流程的每一个环节,提供自动化的测试工具,就可以实现高水准的安全质量,可以说是覆盖所有行业安全需求,更易用更便捷更专业了。
同是代码安全,新思科技出众之处在哪?
其实国内做代码安全的公司并不在少数,为什么新思科技的代码安全更让客户放心呢?对此杨国梁总结了两点。
首先,新思科技提供的是自动化的检测工具,企业不需要去依赖于厂商某一个能力突出的专家,对厂商人员的依赖很小,代码输出质量是很稳定的,服务更值得信赖。
其次,从流程来看,很多提供代码安全检测的公司往往是在产品开发工作结束之后,才开始介入做代码检测和修复。一旦发现漏洞,就需要溯源查找研发各个环节,找到修复之后再做回归测试,验证流程再走一遍,检测周期非常长。但是新思科技却不同,他提供的是一个自动化工具,开发人员可以在任何时间任意模块开发工作告一段落时来进行检查,一旦发现有严重安全问题,就可以及时修正,时效性大大提升。