【51CTO.com原創(chuàng)稿件】近年來，隨著新業(yè)務、新技術(shù)的快速發(fā)展，軟件安全缺陷層出不窮。雖然一般情況下，開發(fā)者基本都會有單元測試、每日構(gòu)建、功能測試等環(huán)節(jié)來保證應用的可用性。但在安全缺陷方面，缺乏安全意識、技能和工具，最終導致了安全缺陷的出現(xiàn)。其中，靜態(tài)分析安全測試（SAST）作為一種最有效的工具，能夠在開發(fā)階段，而不是開發(fā)完成之后，探測出源碼中的安全漏洞，從而大大降低修復安全問題的成本。

日前，新思科技（Synopsys）推出靜態(tài)分析工具的最新版本——Coverity 2018.01。Coverity作為一款靜態(tài)應用安全測試工具，能夠通過分析代碼，查找出一些潛在的軟件質(zhì)量、安全缺陷以及合規(guī)方面的問題。如今，SAST已經(jīng)廣泛應用于各行各業(yè)的開發(fā)測試工作場景中，確保代碼的質(zhì)量和安全，減少風險并降低整體項目成本。

作為全球第15大軟件公司，新思科技的主營業(yè)務是EDA，即集成電路自動設計的軟件。2014年，新思科技成立了Software Integrity Group（簡稱SIG，軟件質(zhì)量與安全部門），專注做軟件質(zhì)量與安全的測試環(huán)節(jié)，目前已在全世界范圍內(nèi)有一千多名員工。

[[219893]]

新思科技軟件質(zhì)量與安全部門 高級安全架構(gòu)師 楊國梁

據(jù)新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁介紹，Coverity核心技術(shù)源自于斯坦福大學的一個研究項目，后期逐漸轉(zhuǎn)化為一個商業(yè)化公司，提供目前業(yè)界最佳的SAST工具。

在Gartner、Forrester、 IDC和VDC權(quán)威機構(gòu)的測評中，Synopsys的靜態(tài)分析工具被評定為領(lǐng)先的應用安全測試解決方案。

三大升級，滿足開發(fā)者安全測試所需

Coverity 2018.01擴展了對于新編程語言、編碼標準以及開發(fā)工具集成的支持，具體包括三大升級：

1、擴展的編程語言覆蓋范圍，新增支持Scala和VB.NET編程語言

即使企業(yè)擴展其軟件組合，采用新的語言、架構(gòu)及技術(shù)，比如移動和微服務，Coverity也能幫助企業(yè)在應用程序中主動構(gòu)建安全性和質(zhì)量。每次發(fā)布新版本，新思科技都將持續(xù)擴大Coverity對新的編程語言的支持，同時加強對現(xiàn)有語言的安全分析。

Coverity 2018.01增加了對兩種新語言的支持：通常用于基于微服務的應用程序開發(fā)的Scala和VB.NET。這兩種語言能夠廣泛地應用在應用類的開發(fā)、Web應用類的開發(fā)以及大數(shù)據(jù)的處理方面。目前，Coverity支持的語言種類已達17種。

最新發(fā)布的Coverity還為Swift、 PHP、 Python、 JavaScript、 Java、 C#和 Node.js編程語言提供增強的安全分析。通過這些新增功能，Coverity支持用于構(gòu)建嵌入式和企業(yè)級軟件的關(guān)鍵程序語言。

2、支持安全編碼標準，全面支持SEI CERT C編碼標準規(guī)則（2016 版）

最近，新思科技發(fā)布了首份CISO報告，總結(jié)分析了信息安全高管的工作模式以及公司變化對他們角色演變的影響。CISO（首席信息安全官）報告基于信息安全高管的工作模式不同分為四個截然不同的群體，并稱之為“部落”（Tribes）。報告重點討論了四個部落在執(zhí)行安全計劃方面的不同之處。其中有一些CISO是由合規(guī)性驅(qū)動的，有一些是CISO是由安全本身驅(qū)動的。

在合規(guī)方面，各行各業(yè)面臨的規(guī)范、要求也不一樣。例如，銀行業(yè)可能會面臨PCI-DSS（支付卡行業(yè)數(shù)據(jù)安全標準）的要求，汽車行業(yè)會面臨MISRA規(guī)范等?；诖耍珻overity幫助企業(yè)遵循編碼標準，提升關(guān)鍵嵌入軟件的安全性及可靠性。

隨著最新版本的發(fā)布，Coverity 2018.01全面支持SEI CERT C (2016 版) —— 安全編碼的行業(yè)標準。除了CERT C， Coverity也支持MISRA編碼標準的所有版本，并通過了ISO 26262認證。

3、與現(xiàn)代開發(fā)工具鏈的集成，增強Jenkins持續(xù)集成（CI）服務器插件，基于DevOps進行自動化測試

Coverity支持并集成許多常用的開發(fā)工具，以助力實現(xiàn)快速和自動化的開發(fā)工作流程。Coverity 2018.01為最新的集成開發(fā)環(huán)境（IDEs）提供插件，包括Visual Studio、 Eclipse、 IntelliJ和Android Studio等等。

為了優(yōu)化安全測試，最新版本還借助Jenkins持續(xù)集成(CI)服務器，以支持開箱即用的集成。Coverity新的Jenkins插件進一步完善了Jenkins Pipeline工作流框架，可以按項目檢索發(fā)現(xiàn)問題，并增強了數(shù)據(jù)過濾功能。

安全和質(zhì)量應成為研發(fā)的首要因素

回顧2017年，“WannaCry”勒索病毒在全球范圍內(nèi)爆發(fā)，波及150多個國家和地區(qū)、10多萬的組織和機構(gòu)以及30多萬網(wǎng)民，損失總計高達500多億人民幣。該事件的發(fā)生，讓我們深思，更加意識到如何防患于未然成為很關(guān)鍵的問題。

楊國梁表示，究其根本無非是兩個問題：一個是軟件有bug，導致它后續(xù)有一些惡意代碼；二是設計上有缺陷，導致它能夠利用成為后續(xù)的安全事件。

因此，對于企業(yè)來說，應把安全和質(zhì)量的把控向研發(fā)開始階段的前面推。據(jù)統(tǒng)計，代碼存在bug和設計缺陷導致的問題各占一半左右。所以，企業(yè)要從設計需求分析伊始，就要加入安全方面的考量。盡可能使用SAST等各類安全測試工具，來確保軟件的安全性。

目前，敏捷研發(fā)、CI/CD、DevOps、微服務等趨勢都是在快速上線的要求下產(chǎn)生的新模式。但對于軟件安全來說，由于時間和精力所限，必然會在便捷性和安全性之間產(chǎn)生一定程度上的矛盾。

楊國梁表示，在這些新型開發(fā)模式下，也要做好相應的安全測試工作。例如，通過SDLC（軟件生命周期）的方法，每個開發(fā)人員寫出代碼之后，立刻檢查，構(gòu)建的時候再合并檢查分析，就可以把問題馬上修復。

通過Coverity就可以快速的滿足這種開發(fā)需求。開發(fā)人員可以利用Coverity的IDE插件，在eclipse上寫完代碼，本地實時檢查，實時修改。Check in代碼之后，再做一輪檢查。通過這種無縫集成的流程可以確保遷移到DevOps或者CI/CD環(huán)境下，最大程度的確保軟件的質(zhì)量和安全。

同時，對于不同規(guī)模的企業(yè)，他表示，無論大公司，還是小公司、創(chuàng)業(yè)公司都同樣重視安全。根據(jù)BSIMM（軟件安全成熟度模型）的評估結(jié)果，大公司從整個SDLC的不同階段，都會部署不同的工具，來保證軟件從設計到上線的整個階段都是安全的。因此，大公司才有可能在人力、物力、資源等方面，落實整個安全開發(fā)生命周期的模型。

而一些小型公司或者創(chuàng)業(yè)公司，雖然可能沒有CIO來建立一整套開發(fā)流程安全規(guī)范，但是也很注重安全。IT人員會根據(jù)對安全的重視程度，通過采購SAST工具、第三方或是開源工具的方式，保證軟件在研發(fā)階段的安全。

完成軟硬一體化轉(zhuǎn)型，實現(xiàn)全面覆蓋

通過從硬件到軟件的拓展，新思科技實現(xiàn)了軟硬一體化的轉(zhuǎn)型，從而能夠為客戶提供更加全面的解決方案。幫助客戶從設計到發(fā)布階段，采用多樣化的測試工具，通過“產(chǎn)品+咨詢服務”的組合，確保軟件在整個生命周期中的安全和質(zhì)量。

新思科技的硬件和軟件部門會有很多客戶的重疊，不少硬件客戶也開始需要一些軟件服務。例如，汽車行業(yè)的客戶，在芯片設計過程中，會涉及到一些軟件產(chǎn)品的覆蓋，在此過程中，硬件部門會協(xié)同軟件部門密切合作共同服務客戶。

目前，德爾福、衛(wèi)士通、通用汽車公司(GM)、Denso等都已經(jīng)成為新思科技軟件部門的客戶，涵蓋電信設備、互聯(lián)網(wǎng)、移動端、物聯(lián)網(wǎng)嵌入式設備、金融、汽車等行業(yè)。

不同的行業(yè)會有不同的需求，新思科技也會不斷完善和更新產(chǎn)品功能。例如，互聯(lián)網(wǎng)行業(yè)對于新的語言跟進速度會比較快，在Coverity 2018.01版本中也新增了Scala和VB.NET編程語言的支持。嵌入式行業(yè)對C、C++有更多的要求，新版中也已經(jīng)完全支持CERT C的安全編碼規(guī)范。

加快本土化發(fā)展，滿足中國市場需求

在產(chǎn)品本地化方面，Coverity兩個版本之前就已經(jīng)推出漢化版本，所有界面和文檔都已經(jīng)全部實現(xiàn)漢化，中國用戶已經(jīng)可以完全打消語言方面的顧慮。

本地服務方面，新思科技持續(xù)加大對中國區(qū)的投入。目前，售前、售后及研發(fā)都已在中國區(qū)落地，有充足的技術(shù)資源確保中國客戶使用SIG的產(chǎn)品。去年，新思科技也在中國發(fā)布了最新版本的軟件安全構(gòu)建成熟度模型——BSIMM8的漢化版。

中美兩國企業(yè)對于安全意識有何差異呢？楊國梁表示，美國一些公司已經(jīng)開始逐漸接受內(nèi)置安全（Build Security In）的概念，在研發(fā)階段就及早的引入SAST工具。

而目前國內(nèi)，更多的企業(yè)更樂于接受一些滲透測試、第三方代碼檢測等。但是，也有一些安全意識領(lǐng)先的中國企業(yè)在研發(fā)早期階段就引入了SAST工具。

我們可以看到，越來越多的安全廠商都在針對中國市場提供本地化的產(chǎn)品，這也得益于中國乃至亞太地區(qū)企業(yè)的安全意識越來越強。新思科技也正在緊跟步伐，推出滿足中國市場的產(chǎn)品。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】