應用開發安全一致是安全界重點關注的內容, 在今年的RSA會議上, 筆者看到了國外廠家展示這方面的安全產品, 通過現場的演示與交流, 筆者認為今年RSA的參展商在應用開發安全有以下三個方向值得我們關注。
開源元件安全
就目前軟體發展而言, 下載和使用開源元件已是主要的開發方式之一。 2016年每週有7000個新的專案和70000個開源組件被發佈。 整個2016年在社區倉庫上統計有超過1000億次JAVA、NPM、PyPI以及RubyGems等元件下載請求, 軟體發展公司平均每年下載超過20000個元件, 而平均16個開源組件中就有1個含有組件含有至少1個已知的安全性漏洞。
CVE-2018-6485(GLIBC)
CVE-2017-12626(Apache.pol)
CVE-2018-6188(django)
CVE2018-6186(Jenkins)
CVE-2017-1000356(Jenkins)
因此如何消除開源元件安全就成為了軟體發展中一個需要關注的重點方向。 展區中WhiteSouce公司的解決方式是建立一個開源元件的漏洞資料庫, 該漏洞庫有超過30萬個的安全性漏洞, 涵蓋了大約200種的程式設計語言。 他們開發了自動化的元件檢測工具, 該工具提供了超過20種開發環境和容器以用於元件檢測。 工具檢測後還可提供修補的建議, 幫助開發人員能容易的進行漏洞修補。
自動化測試元件
軟體代碼安全測試是軟體發展過程中不可缺失的部分, 在本次會議中, 筆者深深感受到國外更多的是通過自動化的測試和檢測工具來完成檢測的標準化和高效化。
圖:Sonatype公司平臺產品的軟體元件檢測
圖:Sonatype公司平臺產品的元件安全評分
圖:Veracode公司的應用安全平臺
合規遵從
國外法律對合規的要求相對國內而言, 無論是覆蓋的廣度、執行的強度以及處罰力度上均超過國內。 因此國外比國內普遍重視和強調對合規的遵從性, 即便是在軟體發展領域。 今年我們看到在這些方面, 有一些國外安全廠家, 如Veracode、Newcontext、Evident.io憑藉自身對合規的理解, 擁有的軟體發展管控經驗為使用者提供軟體安全開發的合規諮詢。
圖:Evident.io公司的評估報告
圖:Veracode公司的安全服務
這些諮詢服務包括安全開發的最佳實踐,對PCI、DSS以及GDPR等合規要求的滿足。此外國外廠家的軟體安全開發評估產品還集成了合規遵從性評估功能,能出具與上述合規相比的遵從符合性報告。國內安全廠家在軟體發展諮詢上更多的是強調技術開發的安全性,如OWASP TOP 10,較少考慮軟體代碼本身對合規性的遵從性。在這一點上筆者認為值得國內安全廠家進行學習。
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP
圖:Veracode公司的安全服務
這些諮詢服務包括安全開發的最佳實踐,對PCI、DSS以及GDPR等合規要求的滿足。此外國外廠家的軟體安全開發評估產品還集成了合規遵從性評估功能,能出具與上述合規相比的遵從符合性報告。國內安全廠家在軟體發展諮詢上更多的是強調技術開發的安全性,如OWASP TOP 10,較少考慮軟體代碼本身對合規性的遵從性。在這一點上筆者認為值得國內安全廠家進行學習。
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP