在软件开发生命周期中集成软件安全测试和相关的检查活动，是目前业内试图在软件设计和开发阶段就构筑的“内建的”安全能力。通过这种方式，以期在源头就实现应用对常见安全隐患的规避。年营收超过26亿美金，排名全球第十五的软件公司Synopsys（新思科技），就是“安全软件开发生命周期(SSDL)”[注：微软将其称之为安全开发生命周期(SDL)]的主要践行者之一。

从硅芯片设计到软件安全

成立于1986年的Synopsys，以电子设计自动化(EDA)业务起家，核心业务目前还包括IP，以及硬件之上的软件质量与安全。2016年，Synopsys以凭借全球超过26亿美金的年营收，超过4亿行的代码积累，使其成为全球第十五大软件公司。在人才和技术创新方面的投入，Synopsys也是不吝惜一丝一毫的。据统计，其全球工程师总人数超过7500人，专利数量超过2700件，研发总投入占其全球年收总数的比例高达1/3。

从硬件，到软件，再到“安全的软件”，尤其在物联网设备数量开始爆发式增长，同时安全威胁日益严峻的今天，指导着Synopsys最新的业务发展方向——软件质量与安全。

回到中国市场，移动网络的快速发展，电子支付的盛行，智能硬件和家电的普及，在这些IT技术和应用飞速发展表象下的，是用户的数据泄露的担忧，与IT成熟度较高的国家15%安全投入的差距，以及监管机构对于数据安全强烈且刚性的合规要求。

Synopsys认为，在企业对软件的开发、测试和采购的全生命周期，以应用安全测试(AST)为核心，辅以对软件代码组成的分析与监控、用以对软件安全性计划(SSI)自检的内置安全成熟度模型(BSIMM)等服务，是防患软件安全风险于未然的重要方法和途径。

这种需求，目前尤以强监管的金融和移动支付、暴露过重大安全隐患的智能网联汽车和医疗设备制造，以及曾被黑客利用发起恶意攻击的物联网等行业，最为突出和强烈。这些，也是Synopsys软件质量与安全的客户分布目前最为集中的几大行业。

以“应用安全测试”为核心 构筑“内建”的安全

“针对应用的安全缺陷进行分析和测试的产品及服务”，是Gartner对应用安全测试(AST)的定义。目前主要技术实现，分为静态(SAST)、动态(DAST)和交互式(IAST)三种。综合Synopsys在这一领域的技术实力和潜力等因素，Gartner在今年2月的AST魔力象限中，将Synopsys作为这一领域的领导者进行推荐。

Gartner2017年2月发布的“应用安全测试”领域魔力象限

作为提供完整应用安全测试解决方案的Synopsys，其技术特点有哪些？Synopsys软件质量与安全部门高级安全架构师杨国梁，向记者做了简单的概括性介绍。

杨国梁

1. SAST->Coverity

静态代码分析，白盒测试，可以进行代码的语义和缺陷分析，主要针对研发人员。支持主流SDLC方案的集成，需要分析的代码可以在夜间提交到构建服务器，Coverity平台的分析结果在第二天早上就可以给到研发人员。

Coverity每年会有两个大版本更新，目前支持语言包括C/C++、C#等14种，对主流的操作系统同和编译器都有较广泛的支持。

支持语言和框架

支持编译器

支持集成的SDLC方案

开源软件方面，从2006年起，Coverity Scan服务便免费向开源社区提供。2014年3月，Synopsys完成对Coverity的收购后，Coverity Scan也一直作为Synopsys对开源社区代码安全提供的重要支持得以延续。目前，总计有超过4800个开源项目和22000名开发者使用此服务。

2. DAST方案与模糊测试

均为黑盒测试，不需要软件源代码，针对测试和安全人员。但区别在于，Synopsys的DAST方案通过对在运行状态下的Web应用模拟真实攻击，分析其响应来判断该应用是否存在安全缺陷，并对漏洞利用进行验证。基于Synopsys的全球评估中心，此DAST方案可以云端托管服务的方式实现。

而模糊测试产品Defensics，则是在软件完成和版本迭代时，从网络协议的角度进行模糊测试。Defensics最大的优势在于对协议的广泛支持。据统计，目前Defensics支持250+的协议（如下图所示，具体可按行业、技术领域进行检索），以及厂商私有协议的SDK支持。

3. IAST->Seeker

交互式介于白盒和黑盒测试之间，也可称之为灰盒测试，不需要源码，但是可以提供代码级问题定位的精准测试结果。通过在Web服务器代理的方式，对数据流进行监控。优点在于零误报（安全问题均得到验证后才会告警）、提供针对编程语言及函数的修复建议，以及可简单地实现与现有研发和测试流程方案的集成。

开源代码安全仍需重点关注

近4成企业会使用第三方组件，而现实要远比这个数字要多。开源软件(OSS)所带来的安全隐患，仍需重点关注。开源代码治理，包括安全漏洞的即使修补，加强对开源代码安全性的警惕意识（安全测试），以及对企业使用的开源组件进行分析和监控。

——Synopsys软件质量与安全部门亚太区董事总经理陈玉贞

陈玉贞

Apache Struts 2是目前最流行的开源Java Web服务器框架之一。开源项目并不代表安全，这已经在业界达成共识。今年9月，Equifax因未及时对Apache Struts 2的漏洞进行修复，被黑客攻击导致重要公民信用数据泄露，面临4500亿美元的巨额集体诉讼赔偿，CIO、CISO甚至CEO接连引咎辞职。

Gartner也意识到了开源代码的滥用所可能带来的安全隐患和巨大经济损失。

Gartner在今年7月发布的2017重大信息安全技术中，特别指出了面向DevSecOps（注：安全责任由安全团队向开发和运维人员的延伸）的“开源软件安全性扫描和组成分析”技术。而这一能力点，也在Synopsys的软件组成分析(SCA)产品——Protecode中有所体现。包括对代码组件的源码（开源或内部研发组件）或二进制文件（一般为商业代码组件）进行安全性扫描分析，尽早发现潜藏其中的法务和安全风险，并帮助企业搭建代码组件库，进行持续性的安全监控。

同时，Synopsys还在11月初公布了其对专注自动化开源软件保护与管理的黑鸭子软件(Black Duck Software)5.48亿美元的收购协议。整合后的“软件组成分析解决方案”，会对开源代码识别及分析过程的自动化，以及安全漏洞及许可合规问题的检测，有更强更全面的能力支撑。

相关阅读

代码安全审计的四大误区
选择应用安全解决方案 首先要回答这9个问题
调查｜2017年针对开源代码漏洞的攻击将增长20%