(赵法彬/数字通信世界)如今,各类机构不断扩大应用程序阵容,并更大程度地依赖软件来执行关键业务功能并提供客户价值,与此同时,应用程序漏洞仍然是网络攻击最常见的攻击载体。这意味着企业应用程序安全团队必需能够评估其不断增长、且日益多样化的应用程序中的漏洞,同时最大限度地降低对其开发速度和业务运营的影响。软件在人们日常生活和工作中发挥越来越重要的作用,人们需要工具和支持将安全性贯穿到整个软件开发周期、公司文化和业务流程的各个方面,从而确保公司更快地构建安全、高质量的软件。
杨国梁
新版Coverity静态应用安全测试解决方案
2019年1月11日,美国新思科技公司(Synopsys)发布最新版Coverity静态应用安全测试(SAST)解决方案,这能帮助各类机构更快地构建安全的应用程序。新思科技软件质量与安全部门(Synopsys Software Integrity Group)高级安全架构师杨国梁表示,该版本解决了企业应用安全开发团队日益增长的三大需求:可扩展性、多种编程语言和框架支持,以及全面的漏洞分析。
首先,为企业安全团队提供可扩展的SAST,Coverity让企业能够将SAST工作扩展到大型应用程序组合。最新版Coverity包含一项名为“无需构建即获得分析结果”的功能,使安全团队能够快速、容易地分析成千上万的应用程序。安全团队现在可以简单地将Coverity指向源代码项目,并在几秒内开始分析,而无需先为每一个应用程序执行完整的构建操作。与其他SAST解决方案不同,Coverity会自动检测项目类型,并获取通常在构建过程中包含的从属关系。使用这项新功能可确保分析工作的全面性,并且无需手动指明各种从属关系。
其次,具有广泛的编程语言和框架支持。用于构建应用程序的编程语言和框架的生态系统正在扩展,因此SAST工具需要了解每一种语言和框架的操作方式才能有效。为了满足具有不同应用程序组合的企业需求,新思科技大大扩展了Coverity的编程语言和框架覆盖范围。最新版的Coverity增加了对TypeScript、.NET Core、Swift 4.1和Ruby on Rails的支持,以及针对Java、JavaScript、C#等50多种不同框架的支持,其中包括Angular、React和Vue。
最后,全面的漏洞分析,Coverity分析引擎利用各种技术以不同方式来查看代码,从而找到最具可操作性和关键性的安全漏洞。为了应对日益普及的框架,最新版的Coverity含大幅度改进的框架分析功能,使得用户能够更加准确地检测客户端和后端Web服务的漏洞。Coverity现在还可以分析JavaScript框架模板,这是一种流行的客户端数据绑定方式。Coverity现在可以扫描从这些模板中动态生成的HTML,以查找其他跨站点脚本漏洞。
针对2019年软件安全行业的七大预测
新思科技软件质量与安全部门针对2019年软件安全行业提出七大预测:一是设计和标准的安全性。2019年,我们可能看到垂直市场组成联盟,以建立更多面向特定领域的安全标准,并改善信任和互换性,其中大部分可以基于开源组件构建。二是继续向云迁移。企业需要在APP应用和软件安全方面保持警惕,预计将会有更多投资会放在云端安全上。此外,给员工普及应用安全和软件安全的概念以及这方面的培训需求也会越来越多。三是AI和ML渗入到我们生活。我们应该期待看到大公司继续投资AI/ML技术。与此同时,宣传AI/ML能力的初创企业也将在2019年继续崛起。但是,可能还需要几年时间才能完全实现AI/ML的真正愿景。四是IoT攻击仍然是一个困扰。亚太区许多国家正在推进智慧城市和智能国家计划,这也为新一轮的IoT网络攻击提供了机会。我们还将看到一些旧问题仍然存在:硬编码凭证和未修补的组件,没有良好设计的空中下载技术(OTA)更新以及持续更新策略。五是针对医疗和零售业的攻击将增多。原因是这些行业正在收集的数据的价值正在增加,我们必须进行投资以保护医疗、零售及其他行业的数据,尤其是安全培训必不可少。六是对开发人员使用第三方应用程序编程接口(API)的敏感性提高。大多数公司都了解确保他们发布的API免受外部攻击的重要性,但很少有公司会通过从内到外调用第三方API来跟踪他们自己的代码在Web服务的使用。依赖第三方服务的方式还存在其它法律和业务风险,公司还必须考虑到他们可能无意中传递到防火墙外的未知和不受信任来源的机密数据。七是从数据到决策。我们很容易淹没在信息海洋中,而忽视了一些必需品。其实,关键是将这些数据融合在一起,以制定基于风险和业务的决策。一方面,我们面临的挑战在于“海底捞针”;另一方面,我们需要组合来自不同方法和域的数据,以了解整体状态。2019年,我们需要的并不是更多数据,而是更好的决策支持。