C114訊 12月11日專(zhuān)稿(蔣均牧)在數(shù)字大潮席卷而來(lái)�����、滲入各行各業(yè)的今天���,數(shù)據(jù)已經(jīng)成為企業(yè)及個(gè)人最重要的資產(chǎn)之一,各種軟件和應(yīng)用程序的安全性亦受到了遠(yuǎn)超以往的關(guān)注����。然而,隨之而來(lái)的日漸頻繁的病毒風(fēng)險(xiǎn)�、黑客攻擊,以及軟件因追求盡快上市而本身存在的漏洞與缺陷�����,皆使之成為一個(gè)難以完成的任務(wù)���。一個(gè)具有代表性的現(xiàn)象是��,盡管用于預(yù)防數(shù)據(jù)泄露的投資在增長(zhǎng)���,數(shù)據(jù)泄露的數(shù)量仍在持續(xù)增長(zhǎng)之中����。
對(duì)此���,被Gartner 2017年魔力象限應(yīng)用安全測(cè)試列為領(lǐng)導(dǎo)者��,并入選了美國(guó)軟件開(kāi)發(fā)行業(yè)權(quán)威雜志SD Times安全及表現(xiàn)類(lèi)別百?gòu)?qiáng)的新思科技公司(Synopsys)提出“軟件安全應(yīng)貫穿軟件開(kāi)發(fā)生命周期(SDLC)”,而這家公司亦致力于為構(gòu)建完整�、安全、高質(zhì)量的軟件開(kāi)發(fā)生命周期及供應(yīng)鏈提供最全面的解決方案���。
“重視技術(shù)已經(jīng)被寫(xiě)入了新思科技的基因�,業(yè)界很難找到像我們這樣能把30%收入投入研發(fā)的企業(yè)����;而我們?nèi)?萬(wàn)多名員工中有超過(guò)7500名是工程師,其中又有一半以上擁有碩士���、博士的學(xué)位����。與此同時(shí),我們傾聽(tīng)客戶(hù)的聲音�����,并以客戶(hù)的聲音為重��,為之提供定制化的端到端的整套流程解決方案�。”在近期上海舉行的一場(chǎng)媒體見(jiàn)面會(huì)上,新思科技軟件質(zhì)量與安全部門(mén)亞太區(qū)董事總經(jīng)理陳玉貞這樣說(shuō)道���。
直面大安全時(shí)代
中國(guó)正憑借互聯(lián)網(wǎng)���、大數(shù)據(jù)、人工智能和其它顛覆性技術(shù)大力推進(jìn)產(chǎn)業(yè)改革��。新思科技認(rèn)為�����,中國(guó)正邁入一個(gè)“大安全時(shí)代”����,網(wǎng)絡(luò)安全不再單指信息安全和信息系統(tǒng)安全�,而是社會(huì)安全�、基礎(chǔ)設(shè)施安全、人身安全等更廣泛意義上的安全���。
《網(wǎng)絡(luò)安全法》已經(jīng)于今年6月起正式實(shí)施�,如果違反規(guī)定�����,最高罰款為100萬(wàn)人民幣���,情節(jié)嚴(yán)重的會(huì)被指控承擔(dān)刑事責(zé)任�。此外�,國(guó)家移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全管理中心(CNAAC)宣布將對(duì)申請(qǐng)上架的應(yīng)用程序進(jìn)行全方位的安全檢測(cè)��,對(duì)檢測(cè)合格的應(yīng)用程序授予“CNAAC應(yīng)用安全標(biāo)識(shí)”��,作為認(rèn)證應(yīng)用程序符合國(guó)家安全管理規(guī)范的官方證明�。總而言之�����,企業(yè)必須在軟件或者應(yīng)用程序推出市場(chǎng)前將安全漏洞最小化。
截至今年6月�����,我國(guó)網(wǎng)民規(guī)模達(dá)到7.51億��,較2016年底時(shí)新增1992萬(wàn)人��,互聯(lián)網(wǎng)普及率達(dá)54.3%�。陳玉貞指出,預(yù)計(jì)網(wǎng)絡(luò)安全建設(shè)未來(lái)3-5年行業(yè)符合增速將達(dá)到25%-30%��,到2020年有望成為千億級(jí)市場(chǎng)�。另一方面,據(jù)《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告(2016)》顯示��,2016年��,有37%的網(wǎng)民因收到各類(lèi)詐騙信息而蒙受經(jīng)濟(jì)損失����;在個(gè)人信息安全中,72%的網(wǎng)民認(rèn)為個(gè)人身份信息泄露情況最嚴(yán)重����,包括網(wǎng)民的姓名���、手機(jī)號(hào)、住址����、身份證號(hào)碼等信息。
在應(yīng)用程序方面����,安全需求亦日益高漲。截至今年6月�����,我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)7.24億����,較2016年底時(shí)增加2830萬(wàn)人,網(wǎng)民中使用手機(jī)上網(wǎng)的比例提升至96.3%�。據(jù)不完全統(tǒng)計(jì)��,在國(guó)內(nèi)應(yīng)用商店商家的APP超過(guò)400萬(wàn)款�。但在同時(shí),今年第一季度��,手機(jī)APP越界造成大量用戶(hù)隱私信息泄露,引發(fā)以網(wǎng)絡(luò)欺詐為主的詐騙案����;報(bào)告顯示,近97%的安卓應(yīng)用�����、近70%的IOS應(yīng)用會(huì)獲取用戶(hù)手機(jī)隱私權(quán)限���;此外��,由于移動(dòng)支付的廣為普及��,手機(jī)經(jīng)常被當(dāng)作電子錢(qián)包使用����,也因此成為黑客的攻擊目標(biāo)�,企圖從中獲取交易信息、個(gè)人數(shù)據(jù)及密碼等��。
將安全與質(zhì)量植入整個(gè)軟件開(kāi)發(fā)生命周期
鑒于上述市場(chǎng)的變化�,中國(guó)軟件行業(yè)對(duì)安全的思維模式急需轉(zhuǎn)變,從零散補(bǔ)救到注重全面、安全的軟件開(kāi)發(fā)生命周期�����。而這正是新思科技軟件質(zhì)量與安全部門(mén)(SIG�����,Software Integrity Group)所專(zhuān)注的領(lǐng)域�。
新思科技向來(lái)以電子設(shè)計(jì)自動(dòng)化(EDA)所著稱(chēng),在全球排名第一��。不止如此���,這家公司如今亦將其在硬件上的強(qiáng)勁實(shí)力拓展到了軟件領(lǐng)域�。在2014年收購(gòu)了Coverity之后�,新思科技成立了“軟件質(zhì)量與安全部門(mén)”這一全新業(yè)務(wù)部門(mén),并通過(guò)此后對(duì)芬蘭安全公司Codenomicon����、安全咨詢(xún)服務(wù)公司Cigital以及不少初創(chuàng)公司的一連串收購(gòu),形成了專(zhuān)業(yè)而應(yīng)用廣泛的軟件安全質(zhì)量解決方案��。
在陳玉貞口中�����,新思科技致力于從源頭開(kāi)始把控好整個(gè)軟件的開(kāi)發(fā)過(guò)程����,以一套全面的平臺(tái)為企業(yè)提供檢測(cè)和修復(fù)缺陷所需要的一切東西,囊括了靜態(tài)分析�、軟件組件分析、智能模糊測(cè)試�、交互式應(yīng)用安全測(cè)試、軟件安全服務(wù)及培訓(xùn)等�,從而幫助客戶(hù)消除風(fēng)險(xiǎn)、防患于未然���。
“我們采取一種整體的方法來(lái)設(shè)計(jì)�、構(gòu)建和維護(hù)安全軟件�,我們將這一概念稱(chēng)為‘內(nèi)置完整性 (Building Security In)’。憑借一套全面的軟件安全性和質(zhì)量解決方案組合以及本地化服務(wù)����,新思科技可以在中國(guó)成為軟件完整性領(lǐng)域的領(lǐng)導(dǎo)者,將功能����、質(zhì)量和安全性均無(wú)縫地融入軟件開(kāi)發(fā)生命周期。”她說(shuō)道。
比如在軟件開(kāi)發(fā)的前期��,新思科技的Cigital咨詢(xún)團(tuán)隊(duì)將嚴(yán)格確保每一家客戶(hù)獲得最準(zhǔn)確的安全評(píng)估�;在企業(yè)需要時(shí),通過(guò)與數(shù)百名安全和質(zhì)量專(zhuān)家的交流����,縮小檢測(cè)空白、進(jìn)行深度的測(cè)試��,并快速擴(kuò)展以管理高需求測(cè)試期�;根據(jù)行動(dòng)計(jì)劃和指標(biāo)定制,交付“開(kāi)箱即用”的專(zhuān)業(yè)服務(wù)�����,包括云安全和物聯(lián)網(wǎng)及嵌入式軟件測(cè)試���;為培養(yǎng)軟件開(kāi)發(fā)人才��,培訓(xùn)亦不可或缺�����,新思科技為軟件開(kāi)發(fā)機(jī)構(gòu)中的每個(gè)角色提供培訓(xùn)�,幫助他們發(fā)展必要的技能,以創(chuàng)建和維護(hù)安全�、 高質(zhì)量的軟件。
服務(wù)中國(guó)數(shù)字化轉(zhuǎn)型
自1995年以來(lái)��,新思科技一直致力于中國(guó)市場(chǎng)����。目前�,新思科技在上海、香港�、深圳和武漢設(shè)有分支機(jī)構(gòu),擁有員工2000多名���。武漢研發(fā)和技術(shù)支持中心于2013年正式啟用��,武漢研發(fā)團(tuán)隊(duì)有189名員工���,預(yù)計(jì)到2020年將擴(kuò)編至500名。
“中國(guó)對(duì)新思科技是一個(gè)非常非常重要的市場(chǎng)�,這也是我們?yōu)槭裁丛谶@里設(shè)置研發(fā)機(jī)構(gòu)、招募了2000人����、投入大量資源的原因����。”陳玉貞指出����。
在數(shù)字化轉(zhuǎn)型過(guò)程中,企業(yè)越來(lái)越依賴(lài)于軟件��。她直言道��,整個(gè)中國(guó)都是非常進(jìn)取的�����,并且在很多地方已經(jīng)領(lǐng)先于世界上其他地方���,但在軟件安全投入上仍有可進(jìn)步之處��。中國(guó)企業(yè)IT投資中僅有1%的預(yù)算用于安全性方面�,而國(guó)外成熟市場(chǎng)這個(gè)數(shù)字則高達(dá)15%——對(duì)其而言��,這背后也蘊(yùn)藏著巨大的商業(yè)機(jī)會(huì)��。
她還介紹說(shuō)�����,金融服務(wù)、汽車(chē)��、電信及互聯(lián)網(wǎng)是SIG在中國(guó)的重點(diǎn)關(guān)注行業(yè)���,其電信行業(yè)客戶(hù)中不乏中國(guó)移動(dòng)、中興�、烽火和聯(lián)想這樣的重量級(jí)企業(yè)。
就在最近���,這家公司發(fā)布了其最新版本的軟件安全構(gòu)建成熟度模型—BSIMM8�。這是BSIMM模型第一次在亞太區(qū)進(jìn)行發(fā)布����,也是首次進(jìn)行中文版本發(fā)布。新思科技軟件質(zhì)量與安全部門(mén)高級(jí)安全架構(gòu)師楊國(guó)梁表示�,BSIMM是一個(gè)免費(fèi)開(kāi)放模型,報(bào)告數(shù)據(jù)內(nèi)容免費(fèi)開(kāi)放���,企業(yè)可以拿到報(bào)告自己進(jìn)行評(píng)估�。而新思科技在其中扮演的角色是去收集和維護(hù)數(shù)據(jù)�,并確保這些數(shù)據(jù)的新鮮度�,同時(shí)也會(huì)提供評(píng)估服務(wù)��。
BSIMM8收集了來(lái)自109家公司的數(shù)據(jù)���,參與BSIMM8調(diào)研的公司來(lái)自有代表性的垂直行業(yè)����,包括金融服務(wù)�、云、醫(yī)療衛(wèi)生����、物聯(lián)網(wǎng)和保險(xiǎn)。在國(guó)內(nèi)公開(kāi)宣布使用BSIMM模型進(jìn)行評(píng)估的企業(yè)包括領(lǐng)先視頻監(jiān)控解決方案供應(yīng)商大華股份���,通過(guò)與新思科技的合作�����,大華股份希望加強(qiáng)其物聯(lián)網(wǎng)設(shè)備和解決方案的安全性�。 
