6月5日，南山深圳灣，華為云舉行了6月的首場安全技術(shù)私享會，分享了華為云DDoS高防服務(wù)、等保解讀、Web應(yīng)用防火墻、數(shù)據(jù)庫安全服務(wù)等多項(xiàng)服務(wù)和技術(shù)。作為現(xiàn)場最大的亮點(diǎn)，華為云安全專家宣布了漏洞掃描服務(wù)的全面升級，置入華為軟件開發(fā)云，讓開發(fā)者從代碼開發(fā)到部署上線，全生命周期自動進(jìn)行安全檢測，發(fā)現(xiàn)潛在安全問題，釋放企業(yè)安全負(fù)擔(dān)。

[[231911]]

華為云安全專家在現(xiàn)場發(fā)表演講

無法消除的軟件漏洞

2018年2月，中國民營企業(yè)500強(qiáng)TOP20的某公司互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)遭黑客攻擊，致重要數(shù)據(jù)泄漏。該公司在安全方面投入了巨額資金和人力，但還是因其使用的某ERP軟件存在一個(gè)漏洞，被黑客利用，導(dǎo)致了上述安全事件?；仡櫄v史，這個(gè)事件還只是冰山一角，事實(shí)上還有更多的黑客活動沒有被暴露出來。

安全漏洞是一個(gè)永恒的話題，數(shù)量多、分布廣、滅而不絕，并且可能隨時(shí)爆發(fā)，下圖是國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心公布的2017年CNVD收錄的安全漏洞數(shù)據(jù)。

所有軟件都有漏洞，漏洞覆蓋了從軟件的開發(fā)階段到生命周期結(jié)束的整個(gè)過程，就像一個(gè)嬰兒從出生開始，就面臨各種各樣的疾病威脅。

盡管各軟件公司的開發(fā)人員在消除漏洞方面都非常努力，但還是不能完全消除漏洞，包括微軟等大公司也一樣無法避免。

如何應(yīng)對漏洞帶來的安全風(fēng)險(xiǎn)呢？

對于安全漏洞，不得不承認(rèn)3點(diǎn)：

1）所有軟件和系統(tǒng)在它的生命周期內(nèi)都存在漏洞；

2）沒有受到攻擊并不是因?yàn)槟愕南到y(tǒng)很安全，而是你的數(shù)據(jù)沒有被黑客“盯上”；

3）數(shù)據(jù)顯示有44%的攻擊是基于已知漏洞（受害者往往沒有及時(shí)打補(bǔ)丁和防御措施）；

如何應(yīng)對？每個(gè)人都有自己的一套辦法：

“不是不想修復(fù)所有漏洞，關(guān)鍵是解決問題的代價(jià)/花費(fèi)太大，我們（企業(yè)）根本無法承擔(dān)。”

“我的數(shù)據(jù)不重要，沒人會注意到我。”

“我們企業(yè)是內(nèi)網(wǎng)，沒那么多威脅，漏洞帶來的風(fēng)險(xiǎn)影響有限。”

“安全技術(shù)薄弱，不會使用這么專業(yè)的安全設(shè)備。”

.…...

總結(jié)起來，就是所有人都認(rèn)可漏洞帶來的巨大風(fēng)險(xiǎn)，也沒有不想修復(fù)漏洞的，但現(xiàn)實(shí)卻是“無奈”的，更多人（企業(yè)）往往是破罐子破摔，放任自流。

但只要我們能正視這個(gè)問題，并積極的采取適當(dāng)?shù)姆烙椒?，就可以在很大程度上緩解漏洞帶來的風(fēng)險(xiǎn)，而且這個(gè)過程或許并沒有相像的那么難，花費(fèi)也沒有那么多。

發(fā)現(xiàn)問題才能解決問題

為了讓開發(fā)者能夠自動化地發(fā)現(xiàn)軟件和系統(tǒng)中可能存在的安全漏洞，華為云發(fā)布了全新升級后的漏洞掃描服務(wù)，覆蓋從代碼開發(fā)到上線部署的全生命周期：

1、軟件開發(fā)階段

越早期解決漏洞的成本越低，最佳處理階段就是在代碼的開發(fā)階段，漏洞發(fā)現(xiàn)的“性價(jià)比”是要體現(xiàn)軟件/系統(tǒng)的整個(gè)生命周期。為此，華為云漏洞掃描提供了覆蓋編碼、測試、部署、運(yùn)營、運(yùn)維等各個(gè)階段的漏洞檢測服務(wù)。編碼和測試階段是發(fā)現(xiàn)并消滅漏洞的最佳時(shí)期，可以減少50%以上的嚴(yán)重漏洞。

華為云漏洞掃描全面升級，置入華為軟件開發(fā)云

2、軟件上線運(yùn)營階段

在軟件驗(yàn)收、運(yùn)營和運(yùn)維階段，提供自動化的安全巡檢、上線評測等服務(wù)，盡可能多的發(fā)現(xiàn)漏洞：

1）功能全，可以發(fā)現(xiàn)編碼、Web、主機(jī)、數(shù)據(jù)庫、中間件、業(yè)務(wù)系統(tǒng)等多種漏洞，能一站式的發(fā)現(xiàn)全部漏洞；

2）掃描范圍廣，不受公/私網(wǎng)IP限制；

3）部署簡便，使用便捷；

實(shí)際操作中，一次性解決所有安全問題不現(xiàn)實(shí)，建議先用最少的投入解決最大風(fēng)險(xiǎn)，其它風(fēng)險(xiǎn)可以放在監(jiān)控之中，折機(jī)而動。

華為云安全專家表示，華為漏洞掃描服務(wù)全面置入軟件開發(fā)云，讓開發(fā)者告別手工查找漏洞，讓運(yùn)維者告別線上漏洞巡查的繁瑣，降低了企業(yè)的開發(fā)運(yùn)維和運(yùn)維成本。未來，華為云還將推出更多優(yōu)質(zhì)的安全服務(wù)和平臺，幫助企業(yè)從復(fù)雜和高成本的安全活動中解脫出來。點(diǎn)擊了解華為云安全服務(wù)：https://www.huaweicloud.com/