当前位置:首页 > 百人牛牛APP >

5G物联时代,我们靠什么保卫自己的安全?

发布时间:2019-06-10 17:14:39 来源:中国软件网 作者:佚名
[摘要]不知不觉之间,我们已经进入了5G时代,而与之相伴的,还将是物联网应用的爆发。但也许我们不曾想过,当物联网、5G与我们的生活息息相关之时...
不知不觉之间,我们已经进入了5G时代,而与之相伴的,还将是物联网应用的爆发。但也许我们不曾想过,当物联网、5G与我们的生活息息相关之时,其中的安全问题又需要怎样的保障?带着这样的问题,我们在2019第二届世界物联网安全峰会上,走访了新思科技(Synopsys)软件质量与安全部门高级安全架构师杨国梁。

软件是安全的基础

当前,越来越多的专业人士认同这样一个观点:安全问题已经是一个系统工程,涉及到信息系统的方方面面。

新思科技软件质量与安全部门高级安全架构师杨国梁

杨国梁表示认同这种观点,他介绍说:“当我们回顾安全问题时,会发现最终的问题最可能出现在这三个方面:软件存在设计缺陷、安全漏洞、弱密码。这三种原因归结到软件上,我们就会发现实际上是在需求设计、研发测试和交付运维三个环节都存在问题。这三个阶段贯穿了整个的软件生命周期,实际上在提醒我们,要让安全问题的解决实现自动化,并把它集成到研发流程中去,才是软件安全问题的最终解决之道。”

软件是安全的基础,这是一个常识性的问题,新思科技首席顾问Larry Trowell此前在谈及如何防止IoT黑客攻击这个问题时,将答案归结为“重视。”如此一来,这个问题的答案,就由技术问题转变成了态度问题。

杨国梁表示:“当IoT处于高速发展的阶段时,软件的功能和安全往往会构成一对矛盾,业界人士可能会重功能而轻安全。当功能的便利性和安全发生冲突时,大家可能不会为了安全而去牺牲掉一些功能特点。”

应对软件行业中存在的重功能轻安全的这一问题,新思科技一直以来致力帮助百人牛牛APP快速构建安全、优质的软件。新思科技为百人牛牛APP构建完整、安全、高质量的 SDLC 和供应链提供了最全面的解决方案,并且把领先的测试技术、自动化分析以及专家结合到一起,创建出强大的产品和服务组合。该组合能够让百人牛牛APP开发出定制的程序,用于在开发流程的早期发现并修复缺陷和漏洞,从而最大限度降低风险,最大限度提高生产力。新思科技在应用安全测试领域成为公认领导者,它是全球第十五大软件公司。

软件是安全的基础虽然是一个老生常谈式的问题,但在物联网、5G等技术将要进入一个野蛮生长时期的转折点时,却成为了一个值得我们深思的大问题。

转了一圈之后,也许我们会重新发现:软件是安全的基础,而打牢这个基础的方法,在于我们重新开始重视软件本身的安全,把安全的方法融入软件开发过程。现在,是需要我们转变态度的关键时刻了。

5G时代的安全选择

5G时代的开启,让业界开始重新思考5G能为业界带来些什么。也许不仅是网速的提升,还有物联网中更多的传感器被采用。在不远的将来,也许我们每个人都会采用上千个传感器,而其中的信息更是与我们的安全息息相关。

新思科技首席顾问Larry Trowell此前曾提出“物联网的每个元素都会产生新的技术,而且在大多数情况下,这些技术还不够安全。”这其实一点也不难理解,物联网应用已经开始渗入我们的生活,并正在呈爆炸性增长。但是物联网行业仍然存在一个严重的问题:制造商倾向于在违规之后,或者安全研究人员发现漏洞后才去进行修复。他们不会在发布之前就为产品构建强大的安全性以防患于未然。但这种做法却可能给物联网用户带来更多不安全。

就这个问题,杨国梁谈了自己的观点:“在5G物联网时代,开发百人牛牛APP在软件开发阶段就必须主动采取安全措施。以往用户爱用防火墙、入侵检测这类安全措施,但这种做法的实质是采用安全软件,这种软件存在的目的是确保用户安全。这种做法是通过对用户的边界防护来实现的。但在5G物联网时代,系统围绕在用户身边,用户的个人风险、个人财产的风险,甚至个人生命的风险,都可能取决于这些物联网设备。这个时候,当出现问题之后再去做出补救,可能为时已晚。所以新思科技的做法是把安全防护置前,帮用户开发安全的软件。这样用户不再依赖于边界防护的方法,因为系统本身就是一个足够健壮的系统。”

也许我们可以这样理解,随着5G时代的来临,物联网将不可避免地进入一个野蛮生长时期。为了保障物联网的安全,也许我们在当前的物联网的筑基阶段,必须保证所写下的每一行代码都是安全的。

开源时代如何让安全得到保障

与5G、云计算、物联网等技术浪潮不同,开源技术是另一条长年不衰的主线。也许在十年前,开源业界的人士还在为某个开源应用成为知名大百人牛牛APP的核心应用,而兴奋不已;那么到了今天,几乎在每一次新技术浪潮中,从云计算到容器技术,开源技术都有重头产品推出,并占据大量市场份额。

新思科技网络安全研究中心发布的《2019年度开源安全与风险分析报告》显示,被审计代码库中开源代码的占比,按行业划分为:所调查的百人牛牛APP软件/SaaS,58%包含开源代码;所调查的互联网和软件基础架构中,61%包含开源代码;所调查的零售和电子商和系统中,62%包含开源代码;参与调查的金融服务和金融科技系统中,64%包含开源代码。

但另一方面,这些开源软件却给应用者埋下了一个又一个的坑:在2018被审代码库中,68%包含存在许可证冲突的代码,38%的被审代码库中包含“未获得许可”的代码,同时被审代码库中有85%包含四年前或者最近两年停止了开发活动的代码。

谈及开源软件的这些坑,杨国梁介绍说:“许多公司都是用开源软件而不知,可能是开发人员因为时间紧,找到一个能用的开源组件,就直接用上了;也可能是外包公司在开发的过程中应用了开源软件。总之,开源软件有各种途径能够进入用户的系统,而不是用户指定一定要用开源软件,才会用上它。因为管理的原因,开源软件中可能存在各类风险。”

具体来说,杨国梁解释说:“开源软件因为管理的原因,可能存在安全漏洞。此外,并不是所有的开源软件都可以随便使用,开源软件需要遵循不同的许可协义。最后,开源项目可能因为主要开发者退出,而处于开发停滞状态,用户用了这样的开源软件,以后的系统稳定性就无法得到保证。”

而说到解除方法,杨国梁介绍说:“目前新思科技的Black Duck软件组成分析解决方案,已经能很好地解决开源软件这些问题。通过识别、保护、管理和监测这四个步骤,就可以查找到所有在用的开源组件,确认其中有无不当的开源许可,再通过安全策略保障开源软件的安全,最后通过探明开源软件是否处于更新停更阶段,就可以有效保障开源软件的安全性。”

杨国梁最后强调说:“开源软件是一个大宝库,但要想用好它,前提一定是要把开源软件中安全的坑填平。”

对于充满了新浪潮的IT业来说,也许变化是唯一的不变。但当5G、云计算、物联网、开源等诸多新课题以叠加的方式在我们面前爆裂开来时,我们需要考虑的不仅是被动的应对,还要有主动的安全防护措施。5G物联时代,将安全防护置前,让我们在筑基阶段走好每一步,也许才是保护我们自己安全的最好选择。

【返回首页】