【51CTO.com原創(chuàng)稿件】日前，2019第二屆世界物聯(lián)網(wǎng)安全峰會(huì)在北京成功召開(kāi)。本屆峰會(huì)以“亮劍安全，賦能物聯(lián)新時(shí)代”為主題，邀請(qǐng)了300多位物聯(lián)網(wǎng)行業(yè)專(zhuān)家、企業(yè)高層以及研究人員，共同分析未來(lái)物聯(lián)網(wǎng)安全的市場(chǎng)趨勢(shì)，并探討其未來(lái)發(fā)展方向。新思科技軟件質(zhì)量與安全部門(mén)高級(jí)安全架構(gòu)師楊國(guó)梁也受邀參會(huì)，并在大會(huì)現(xiàn)場(chǎng)帶來(lái)“Build Security In IOT”的主題演講。楊國(guó)梁指出，設(shè)計(jì)缺陷、安全漏洞和弱密碼等是造成物聯(lián)網(wǎng)威脅的主要因素，物聯(lián)網(wǎng)行業(yè)需要重視開(kāi)源代碼的安全使用。“企業(yè)應(yīng)該積極主動(dòng)地去進(jìn)行開(kāi)源管理，從一開(kāi)始就將安全內(nèi)置在物聯(lián)網(wǎng)中。”

　　楊國(guó)梁的演講給物聯(lián)網(wǎng)安全帶來(lái)了新的解題思路，他呼吁人們重視起過(guò)去容易忽略的開(kāi)源代碼安全，在現(xiàn)場(chǎng)贏得很多聽(tīng)眾的認(rèn)可和掌聲。會(huì)議間隙，51CTO記者采訪了楊國(guó)梁，請(qǐng)他分享新思科技在物聯(lián)網(wǎng)安全領(lǐng)域的思考與判斷。

[[267651]]

　　將安全內(nèi)置到物聯(lián)網(wǎng)

　　記者了解到，新思科技成立于1986年，至今已有30多年歷史，自2014年起，新思科技收購(gòu)了一系列做軟件安全的公司，開(kāi)始針對(duì)企業(yè)級(jí)市場(chǎng)提供研發(fā)階段的安全測(cè)試服務(wù)。這其中既包括提供安全測(cè)試工具，開(kāi)源組件的治理工具，也提供白盒、代碼審計(jì)、自動(dòng)化之類(lèi)的工具，還可以滿足客戶咨詢，提供滲透測(cè)試服務(wù)、托管測(cè)試服務(wù)，以及安全成熟度的評(píng)估等，總之都是為了一個(gè)共同的目標(biāo)，就是幫助客戶更快更安全進(jìn)行軟件創(chuàng)新。

　　之所以聚焦物聯(lián)網(wǎng)安全，是因?yàn)樾滤伎萍伎吹搅宋锫?lián)網(wǎng)潛在的龐大安全需求。楊國(guó)梁告訴記者，物聯(lián)網(wǎng)需要無(wú)數(shù)的軟件來(lái)支撐。但是開(kāi)發(fā)人員往往更關(guān)注他們創(chuàng)建的軟件代碼，而忽略了使用的開(kāi)源代碼，導(dǎo)致黑客有機(jī)可乘。不久前，黑客竊取了分析服務(wù)Picreel和開(kāi)源項(xiàng)目Alpaca Forms的數(shù)據(jù)，并修改了它們的JavaScript文件，進(jìn)而在超過(guò)4,600個(gè)網(wǎng)站上嵌入惡意代碼，這正是忽略開(kāi)源代碼安全的典型例子。

　　“未修補(bǔ)的軟件漏洞是企業(yè)面臨的最大網(wǎng)絡(luò)威脅之一，軟件中未修補(bǔ)的開(kāi)源組件會(huì)增加安全風(fēng)險(xiǎn)。”他告訴記者，在2018年審計(jì)的代碼庫(kù)中，有60%至少含有一個(gè)漏洞，雖然比例不低，但卻遠(yuǎn)遠(yuǎn)好于2017年的78%。

　　那么為什么會(huì)提出要“內(nèi)置安全”這樣的理念呢?楊國(guó)梁解釋道，安全和性能其實(shí)在某種程度是博弈的狀態(tài)，在物聯(lián)網(wǎng)高速發(fā)展的大趨勢(shì)下，很少有廠商愿意為了安全在功能或性能上做讓步。但是傳統(tǒng)的安全防護(hù)工具如防火墻、入侵檢測(cè)，大多都是做邊界防護(hù)安全，并不能很好地適用于無(wú)邊界或者邊界日趨模糊的物聯(lián)網(wǎng)應(yīng)用環(huán)境，所以最好的方法就是在產(chǎn)品研發(fā)階段，從寫(xiě)源代碼開(kāi)始，就做得足夠健壯，減少對(duì)外界防護(hù)工具的依賴(lài)。如此一來(lái)，既提升了安全防護(hù)水平，又不會(huì)犧牲產(chǎn)品性能，導(dǎo)致未來(lái)一旦遭遇安全威脅，只能亡羊補(bǔ)牢事后補(bǔ)救。

　　其實(shí)在開(kāi)源代碼階段就介入安全還有一個(gè)好處。眾所周知，物聯(lián)網(wǎng)是一個(gè)非常龐大的領(lǐng)域，各行各業(yè)的產(chǎn)品形態(tài)都不盡相同，如果是生成產(chǎn)品后再部署安全解決方案，那么解決方案必須要匹配各個(gè)行業(yè)屬性，做定制開(kāi)發(fā)。但是做開(kāi)源代碼安全就不同了，它是從整個(gè)開(kāi)發(fā)流程角度實(shí)現(xiàn)安全，無(wú)論是設(shè)備端的開(kāi)發(fā)，還是后端的開(kāi)發(fā)，無(wú)非總是遵循設(shè)計(jì)、研發(fā)、測(cè)試、發(fā)布這樣的一個(gè)流程，新思科技只要針對(duì)這些流程的每一個(gè)環(huán)節(jié)，提供自動(dòng)化的測(cè)試工具，就可以實(shí)現(xiàn)高水準(zhǔn)的安全質(zhì)量，可以說(shuō)是覆蓋所有行業(yè)安全需求，更易用更便捷更專(zhuān)業(yè)了。

　　同是代碼安全，新思科技出眾之處在哪?

　　其實(shí)國(guó)內(nèi)做代碼安全的公司并不在少數(shù)，為什么新思科技的代碼安全更讓客戶放心呢?對(duì)此楊國(guó)梁總結(jié)了兩點(diǎn)。

　　首先，新思科技提供的是自動(dòng)化的檢測(cè)工具，企業(yè)不需要去依賴(lài)于廠商某一個(gè)能力突出的專(zhuān)家，對(duì)廠商人員的依賴(lài)很小，代碼輸出質(zhì)量是很穩(wěn)定的，服務(wù)更值得信賴(lài)。

　　其次，從流程來(lái)看，很多提供代碼安全檢測(cè)的公司往往是在產(chǎn)品開(kāi)發(fā)工作結(jié)束之后，才開(kāi)始介入做代碼檢測(cè)和修復(fù)。一旦發(fā)現(xiàn)漏洞，就需要溯源查找研發(fā)各個(gè)環(huán)節(jié)，找到修復(fù)之后再做回歸測(cè)試，驗(yàn)證流程再走一遍，檢測(cè)周期非常長(zhǎng)。但是新思科技卻不同，他提供的是一個(gè)自動(dòng)化工具，開(kāi)發(fā)人員可以在任何時(shí)間任意模塊開(kāi)發(fā)工作告一段落時(shí)來(lái)進(jìn)行檢查，一旦發(fā)現(xiàn)有嚴(yán)重安全問(wèn)題，就可以及時(shí)修正，時(shí)效性大大提升。

　　當(dāng)談到目前國(guó)內(nèi)客戶的接受程度時(shí)，他告訴記者，像高科技、物聯(lián)網(wǎng)、設(shè)備商、互聯(lián)網(wǎng)等行業(yè)市場(chǎng)的前沿客戶和第一梯隊(duì)的客戶接受程度非常高，大家基本都達(dá)成共識(shí)，從代碼開(kāi)發(fā)這個(gè)源頭就開(kāi)始注重安全防護(hù)能力。

　　采訪最后，針對(duì)峰會(huì)現(xiàn)場(chǎng)眾人都很關(guān)注的物聯(lián)網(wǎng)安全落地建設(shè)的關(guān)鍵，楊國(guó)梁強(qiáng)調(diào)，“重視”二字尤為重要。為什么人們駕駛汽車(chē)都會(huì)系上安全帶?就是因?yàn)槿藗円庾R(shí)到安全的重要性，物聯(lián)網(wǎng)安全領(lǐng)域也同樣如此，安全專(zhuān)業(yè)人員要意識(shí)到安全的重要性，引起足夠重視，否則僅僅考慮如何解決安全難題，也不會(huì)取得太顯著的效果。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】