軟件，不管是由誰(shuí)構(gòu)建的，都很容易受到漏洞攻擊，隨著我們的世界越來(lái)越依賴(lài)數(shù)字化，更多的軟件被編寫(xiě)，更多的漏洞也將會(huì)出現(xiàn)?，F(xiàn)在，開(kāi)源可以說(shuō)是構(gòu)建軟件應(yīng)用的基礎(chǔ)。如果沒(méi)有有效的方法來(lái)跟蹤和管理開(kāi)源，企業(yè)將面臨使用開(kāi)源所帶來(lái)的安全、許可證合規(guī)性和代碼質(zhì)量風(fēng)險(xiǎn)。

自 2005 年起，NVD 漏洞數(shù)據(jù)庫(kù)每年都報(bào)告 4，000 ~ 8，000 個(gè)新漏洞，但是這一數(shù)字在 2017 年激增至 14，645，2018 年增至 16，511，2019 年則增至 17，306。

盡管開(kāi)源軟件的漏洞少于專(zhuān)有軟件，但是開(kāi)源安全問(wèn)題不容忽視。新思科技公司發(fā)布的《2020 年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）發(fā)現(xiàn)經(jīng)過(guò)審計(jì)的代碼庫(kù)中，75%包含具有已知安全漏洞的開(kāi)源組件，將近一半（49%）的代碼庫(kù)包含高風(fēng)險(xiǎn)漏洞，而且 91%的代碼庫(kù)包含已經(jīng)過(guò)期四年以上或者近兩年沒(méi)有開(kāi)發(fā)活動(dòng)的組件。OSSRA 報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心（CyRC）制作，研究了由 Black Duck 審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的對(duì)超過(guò) 1，250 個(gè)商業(yè)代碼庫(kù)的審計(jì)結(jié)果。

雖然開(kāi)源是免費(fèi)的，并且有許多優(yōu)點(diǎn)，但仍需遵循許可證要求。如果企業(yè)有意或者無(wú)意地違反所使用組件的許可證要求，則可能會(huì)失去其專(zhuān)有代碼的權(quán)利或者使 IP 所有權(quán)面臨風(fēng)險(xiǎn)。盡管并非所有的漏洞都將帶來(lái)災(zāi)難性的問(wèn)題，但它們使企業(yè)面臨一系列已知的風(fēng)險(xiǎn)：金融盜竊、企業(yè)間諜活動(dòng)、勒索軟件、客戶(hù)敏感數(shù)據(jù)的泄露和潛在的人身安全威脅等。

凱易訊（Calix）所面臨的風(fēng)險(xiǎn)就是一個(gè)例子。Calix 是一家領(lǐng)先的云和軟件平臺(tái)、系統(tǒng)和服務(wù)的供應(yīng)商，它在亞太地區(qū)包括中國(guó)和澳大利亞都有業(yè)務(wù)，其中一個(gè)海外研發(fā)中心位于中國(guó)南京軟件谷。該公司的年?duì)I業(yè)額達(dá)到 4.8 億美元，為全球超過(guò) 1，400 家通訊服務(wù)供應(yīng)商提供服務(wù)。Calix 建立和管理由定制、商業(yè)和開(kāi)源代碼組成的軟件，這些軟件包含數(shù)千萬(wàn)行的代碼。然而，它所面臨的挑戰(zhàn)是如何發(fā)布符合嚴(yán)格標(biāo)準(zhǔn)、高質(zhì)量、安全的軟件。

Calix 產(chǎn)品工程服務(wù)工程總監(jiān) Vivek Singh 表示：“與絕大多數(shù)科技公司一樣，Calix 深刻意識(shí)到這些風(fēng)險(xiǎn)，但我們的安全團(tuán)隊(duì)也知道手動(dòng)分析代碼庫(kù)既耗時(shí)又昂貴。尤其是對(duì)于新興的系統(tǒng)，我們可以手動(dòng)做很多事情，但是花費(fèi)會(huì)很高。盡管公司之前一直在使用開(kāi)源掃描工具，但更新非常慢，并沒(méi)有跟上新發(fā)現(xiàn)和報(bào)告的漏洞信息的速度。”

如何解決這些問(wèn)題？

預(yù)防往往優(yōu)于事后補(bǔ)救。預(yù)防軟件漏洞始于從軟件開(kāi)發(fā)生命周期早期識(shí)別漏洞。這不僅可以在開(kāi)發(fā)過(guò)程結(jié)束時(shí)交付更安全的產(chǎn)品，同時(shí)也將節(jié)約時(shí)間和成本。

開(kāi)發(fā)軟件的時(shí)候，每一步都存在潛在的安全問(wèn)題。由于預(yù)算和時(shí)間的限制，安全通常被排在軟件開(kāi)發(fā)流程的最后階段。其實(shí)，在軟件開(kāi)發(fā)之初就應(yīng)該考慮安全性，并且需要為開(kāi)發(fā)過(guò)程準(zhǔn)備好正確的測(cè)試工具，方便開(kāi)發(fā)人員可以在最小的干擾下整合軟件安全管理。這意味著開(kāi)發(fā)團(tuán)隊(duì)可以更好地管理他們的時(shí)間，并且使軟件開(kāi)發(fā)變得更加容易，安全性也更高。

Vivek Singh 表示 Calix 已經(jīng)使用 Coverity 靜態(tài)分析超過(guò)五年了，并且于大約兩年前也采用了 Black Duck 軟件組成分析和 Defensics 模糊測(cè)試。

Coverity 是一種靜態(tài)應(yīng)用安全測(cè)試解決方案（SAST），提供精準(zhǔn)的、可操作的補(bǔ)救建議，以及針對(duì)特定情景的 eLearning 在線學(xué)習(xí)，幫助開(kāi)發(fā)人員快速修復(fù)缺陷。它還可以通過(guò)自動(dòng)化測(cè)試無(wú)縫集成到 CI/CD 管道，以保持開(kāi)發(fā)速度。

Black Duck 是一種提供全面的軟件組成分析（SCA）解決方案，用于管理由于在應(yīng)用程序和容器中使用開(kāi)源而產(chǎn)生的安全性、許可證合規(guī)性和代碼質(zhì)量風(fēng)險(xiǎn)。

Defensics 是一種自動(dòng)化的黑盒模糊測(cè)試，使得組織可以高效并有效地發(fā)現(xiàn)和修補(bǔ)軟件中的安全漏洞。

Vivek Singh 指出：“一旦為下一個(gè)版本開(kāi)發(fā)了新的開(kāi)發(fā)流程，所有的這些過(guò)程，Coverity、Black Duck 和 Defensics（觸及我們代碼庫(kù)的所有相關(guān)的掃描過(guò)程），都將自動(dòng)在 Bamboo CI 引擎中進(jìn)行設(shè)置。這是我們?nèi)粘９ぷ鞯囊徊糠?。?dāng)構(gòu)建的時(shí)候（開(kāi)發(fā)人員簽入代碼），我們有一個(gè)集中的主線代碼存儲(chǔ)庫(kù)，并且該過(guò)程從第一天便開(kāi)始。所有的報(bào)告都是實(shí)時(shí)并且是最新的。這些都很少涉及手動(dòng)操作?！?/p>

Vivek Singh 介紹道：“Coverity 解決了所有的靜態(tài)分析問(wèn)題，并且提供了一個(gè)集中數(shù)據(jù)庫(kù)。它具有出色的報(bào)告系統(tǒng)，對(duì)于從程序經(jīng)理到產(chǎn)品經(jīng)理再到開(kāi)發(fā)經(jīng)理，任何人都能夠在一個(gè)單一的平臺(tái)管理所有的事情，這非常關(guān)鍵。盡管在當(dāng)今市場(chǎng)上有許多靜態(tài)分析工具，但我想說(shuō) Coverity 無(wú)疑是同類(lèi)產(chǎn)品中出類(lèi)拔萃的。”

當(dāng)提到 Black Duck 軟件組成分析， Vivek Singh 表示這是三連勝：更快、更好和更實(shí)惠，并稱(chēng)贊道“它使用起來(lái)超級(jí)簡(jiǎn)單，并且在自動(dòng)化方面，Black Duck 與之前的工具相比有巨大的提升。它有許多非常清晰的報(bào)告，使我們清楚地了解到哪些地方需要重點(diǎn)關(guān)注，因此我們不需要一位高級(jí)架構(gòu)師來(lái)嘗試解碼整個(gè)報(bào)告并找出在我們代碼庫(kù)中的問(wèn)題?！?/p>

Vivek Singh 說(shuō)：“Defensics 已經(jīng)成為 Calix 軟件測(cè)試套件的一部分，因?yàn)槲覀儾粩嘞蚴袌?chǎng)推出新的產(chǎn)品，當(dāng)我們涉足網(wǎng)絡(luò)行業(yè)的新的領(lǐng)域時(shí)，安全性則是首要考慮因素。我們之所以會(huì)引入它，并不僅僅因?yàn)槲覀兯媾R的挑戰(zhàn)，還因?yàn)槲覀兊男庐a(chǎn)品，我們正開(kāi)發(fā)的新的軟件在這個(gè)領(lǐng)域是非常廣泛的，我們必須研究模糊測(cè)試協(xié)議掃描和類(lèi)似的東西。”

他說(shuō)最重要的是可以更快地、更好地交付軟件安全性。他還表示：“我們點(diǎn)擊一個(gè)按鈕即可設(shè)置 CI 計(jì)劃，它可以從 Black Duck、Defensics、 Coverity 和我們的其它安全分析工具提取所有內(nèi)容，并且它們可以自動(dòng)插入并生成報(bào)告和掃描，如果一個(gè)漏洞需要被修復(fù)，會(huì)立即進(jìn)入我們的漏洞管理系統(tǒng)。”

現(xiàn)在，幾乎每家從事商業(yè)活動(dòng)的公司，無(wú)論銷(xiāo)售什么產(chǎn)品，都會(huì)使用到軟件，并且很容易受到漏洞攻擊。在精簡(jiǎn)的流程和更短的時(shí)間內(nèi)有效提高開(kāi)發(fā)的軟件的安全性和質(zhì)量，是公司在數(shù)字時(shí)代激烈競(jìng)爭(zhēng)環(huán)境中所需要的核心優(yōu)勢(shì)。
責(zé)任編輯:pj