介绍一下应用安全测试领导者:Synopsys

作者:星期五, 十二月 1, 20170
分享:

在软件开发生命周期中集成软件安全测试和相关的检查活动,是目前业内试图在软件设计和开发阶段就构筑的“内建的”安全能力。通过这种方式,以期在源头就实现应用对常见安全隐患的规避。年营收超过26亿美金,排名全球第十五的软件公司Synopsys(新思科技),就是“安全软件开发生命周期(SSDL)”[注:微软将其称之为安全开发生命周期(SDL)]的主要践行者之一。

从硅芯片设计到软件安全

成立于1986年的Synopsys,以电子设计自动化(EDA)业务起家,核心业务目前还包括IP,以及硬件之上的软件质量与安全。2016年,Synopsys以凭借全球超过26亿美金的年营收,超过4亿行的代码积累,使其成为全球第十五大软件公司。在人才和技术创新方面的投入,Synopsys也是不吝惜一丝一毫的。据统计,其全球工程师总人数超过7500人,专利数量超过2700件,研发总投入占其全球年收总数的比例高达1/3

从硬件,到软件,再到“安全的软件”,尤其在物联网设备数量开始爆发式增长,同时安全威胁日益严峻的今天,指导着Synopsys最新的业务发展方向——软件质量与安全。

回到中国市场,移动网络的快速发展,电子支付的盛行,智能硬件和家电的普及,在这些IT技术和应用飞速发展表象下的,是用户的数据泄露的担忧,与IT成熟度较高的国家15%安全投入的差距,以及监管机构对于数据安全强烈且刚性的合规要求。

Synopsys认为,在企业对软件的开发、测试和采购的全生命周期,以应用安全测试(AST)为核心,辅以对软件代码组成的分析与监控、用以对软件安全性计划(SSI)自检的内置安全成熟度模型(BSIMM)等服务,是防患软件安全风险于未然的重要方法和途径。

这种需求,目前尤以强监管的金融移动支付、暴露过重大安全隐患的智能网联汽车医疗设备制造,以及曾被黑客利用发起恶意攻击的物联网等行业,最为突出和强烈。这些,也是Synopsys软件质量与安全的客户分布目前最为集中的几大行业。

以“应用安全测试”为核心 构筑“内建”的安全

“针对应用的安全缺陷进行分析和测试的产品及服务”,是Gartner对应用安全测试(AST)的定义。目前主要技术实现,分为静态(SAST)、动态(DAST)和交互式(IAST)三种。综合Synopsys在这一领域的技术实力和潜力等因素,Gartner在今年2月的AST魔力象限中,将Synopsys作为这一领域的领导者进行推荐。

Gartner2017年2月发布的“应用安全测试”领域魔力象限

作为提供完整应用安全测试解决方案的Synopsys,其技术特点有哪些?Synopsys软件质量与安全部门高级安全架构师杨国梁,向记者做了简单的概括性介绍。

杨国梁

1. SAST->Coverity

静态代码分析,白盒测试,可以进行代码的语义和缺陷分析,主要针对研发人员。支持主流SDLC方案的集成,需要分析的代码可以在夜间提交到构建服务器,Coverity平台的分析结果在第二天早上就可以给到研发人员。

Coverity每年会有两个大版本更新,目前支持语言包括C/C++、C#等14种,对主流的操作系统同和编译器都有较广泛的支持。

支持语言和框架

支持编译器

支持集成的SDLC方案

开源软件方面,从2006年起,Coverity Scan服务便免费向开源社区提供。2014年3月,Synopsys完成对Coverity的收购后,Coverity Scan也一直作为Synopsys对开源社区代码安全提供的重要支持得以延续。目前,总计有超过4800个开源项目和22000名开发者使用此服务。

2. DAST方案与模糊测试

均为黑盒测试,不需要软件源代码,针对测试和安全人员。但区别在于,Synopsys的DAST方案通过对在运行状态下的Web应用模拟真实攻击,分析其响应来判断该应用是否存在安全缺陷,并对漏洞利用进行验证。基于Synopsys的全球评估中心,此DAST方案可以云端托管服务的方式实现。

模糊测试产品Defensics,则是在软件完成和版本迭代时,从网络协议的角度进行模糊测试。Defensics最大的优势在于对协议的广泛支持。据统计,目前Defensics支持250+的协议(如下图所示,具体可按行业、技术领域进行检索),以及厂商私有协议的SDK支持。

3. IAST->Seeker

交互式介于白盒和黑盒测试之间,也可称之为灰盒测试,不需要源码,但是可以提供代码级问题定位的精准测试结果。通过在Web服务器代理的方式,对数据流进行监控。优点在于零误报(安全问题均得到验证后才会告警)、提供针对编程语言及函数的修复建议,以及可简单地实现与现有研发和测试流程方案的集成。

开源代码安全仍需重点关注

近4成企业会使用第三方组件,而现实要远比这个数字要多。开源软件(OSS)所带来的安全隐患,仍需重点关注。开源代码治理,包括安全漏洞的即使修补,加强对开源代码安全性的警惕意识(安全测试),以及对企业使用的开源组件进行分析和监控。

——Synopsys软件质量与安全部门亚太区董事总经理陈玉贞

陈玉贞

Apache Struts 2是目前最流行的开源Java Web服务器框架之一。开源项目并不代表安全,这已经在业界达成共识。今年9月,Equifax因未及时对Apache Struts 2的漏洞进行修复,被黑客攻击导致重要公民信用数据泄露,面临4500亿美元的巨额集体诉讼赔偿,CIO、CISO甚至CEO接连引咎辞职。

Gartner也意识到了开源代码的滥用所可能带来的安全隐患和巨大经济损失。

Gartner在今年7月发布的2017重大信息安全技术中,特别指出了面向DevSecOps(注:安全责任由安全团队向开发和运维人员的延伸)的“开源软件安全性扫描和组成分析”技术。而这一能力点,也在Synopsys的软件组成分析(SCA)产品——Protecode中有所体现。包括对代码组件的源码(开源或内部研发组件)或二进制文件(一般为商业代码组件)进行安全性扫描分析,尽早发现潜藏其中的法务和安全风险,并帮助企业搭建代码组件库,进行持续性的安全监控。

同时,Synopsys还在11月初公布了其对专注自动化开源软件保护与管理的黑鸭子软件(Black Duck Software)5.48亿美元的收购协议。整合后的“软件组成分析解决方案”,会对开源代码识别及分析过程的自动化,以及安全漏洞及许可合规问题的检测,有更强更全面的能力支撑。

相关阅读

代码安全审计的四大误区
选择应用安全解决方案 首先要回答这9个问题
调查|2017年针对开源代码漏洞的攻击将增长20%

 

分享:

相关文章

写一条评论

 

 

0条评论