C114讯 12月11日专稿(蒋均牧)在数字大潮席卷而来、渗入各行各业的今天,数据已经成为企业及个人最重要的资产之一,各种软件和应用程序的安全性亦受到了远超以往的关注。然而,随之而来的日渐频繁的病毒风险、黑客攻击,以及软件因追求尽快上市而本身存在的漏洞与缺陷,皆使之成为一个难以完成的任务。一个具有代表性的现象是,尽管用于预防数据泄露的投资在增长,数据泄露的数量仍在持续增长之中。
对此,被Gartner 2017年魔力象限应用安全测试列为领导者,并入选了美国软件开发行业权威杂志SD Times安全及表现类别百强的新思科技公司(Synopsys)提出“软件安全应贯穿软件开发生命周期(SDLC)”,而这家公司亦致力于为构建完整、安全、高质量的软件开发生命周期及供应链提供最全面的解决方案。
“重视技术已经被写入了新思科技的基因,业界很难找到像我们这样能把30%收入投入研发的企业;而我们全球1万多名员工中有超过7500名是工程师,其中又有一半以上拥有硕士、博士的学位。与此同时,我们倾听客户的声音,并以客户的声音为重,为之提供定制化的端到端的整套流程解决方案。”在近期上海举行的一场媒体见面会上,新思科技软件质量与安全部门亚太区董事总经理陈玉贞这样说道。
直面大安全时代
中国正凭借互联网、大数据、人工智能和其它颠覆性技术大力推进产业改革。新思科技认为,中国正迈入一个“大安全时代”,网络安全不再单指信息安全和信息系统安全,而是社会安全、基础设施安全、人身安全等更广泛意义上的安全。
《网络安全法》已经于今年6月起正式实施,如果违反规定,最高罚款为100万人民币,情节严重的会被指控承担刑事责任。此外,国家移动互联网应用安全管理中心(CNAAC)宣布将对申请上架的应用程序进行全方位的安全检测,对检测合格的应用程序授予“CNAAC应用安全标识”,作为认证应用程序符合国家安全管理规范的官方证明。总而言之,企业必须在软件或者应用程序推出市场前将安全漏洞最小化。
截至今年6月,我国网民规模达到7.51亿,较2016年底时新增1992万人,互联网普及率达54.3%。陈玉贞指出,预计网络安全建设未来3-5年行业符合增速将达到25%-30%,到2020年有望成为千亿级市场。另一方面,据《中国网民权益保护调查报告(2016)》显示,2016年,有37%的网民因收到各类诈骗信息而蒙受经济损失;在个人信息安全中,72%的网民认为个人身份信息泄露情况最严重,包括网民的姓名、手机号、住址、身份证号码等信息。
在应用程序方面,安全需求亦日益高涨。截至今年6月,我国手机网民规模达7.24亿,较2016年底时增加2830万人,网民中使用手机上网的比例提升至96.3%。据不完全统计,在国内应用商店商家的APP超过400万款。但在同时,今年第一季度,手机APP越界造成大量用户隐私信息泄露,引发以网络欺诈为主的诈骗案;报告显示,近97%的安卓应用、近70%的IOS应用会获取用户手机隐私权限;此外,由于移动支付的广为普及,手机经常被当作电子钱包使用,也因此成为黑客的攻击目标,企图从中获取交易信息、个人数据及密码等。
将安全与质量植入整个软件开发生命周期
鉴于上述市场的变化,中国软件行业对安全的思维模式急需转变,从零散补救到注重全面、安全的软件开发生命周期。而这正是新思科技软件质量与安全部门(SIG,Software Integrity Group)所专注的领域。
新思科技向来以电子设计自动化(EDA)所著称,在全球排名第一。不止如此,这家公司如今亦将其在硬件上的强劲实力拓展到了软件领域。在2014年收购了Coverity之后,新思科技成立了“软件质量与安全部门”这一全新业务部门,并通过此后对芬兰安全公司Codenomicon、安全咨询服务公司Cigital以及不少初创公司的一连串收购,形成了专业而应用广泛的软件安全质量解决方案。
在陈玉贞口中,新思科技致力于从源头开始把控好整个软件的开发过程,以一套全面的平台为企业提供检测和修复缺陷所需要的一切东西,囊括了静态分析、软件组件分析、智能模糊测试、交互式应用安全测试、软件安全服务及培训等,从而帮助客户消除风险、防患于未然。
“我们采取一种整体的方法来设计、构建和维护安全软件,我们将这一概念称为‘内置完整性 (Building Security In)’。凭借一套全面的软件安全性和质量解决方案组合以及本地化服务,新思科技可以在中国成为软件完整性领域的领导者,将功能、质量和安全性均无缝地融入软件开发生命周期。”她说道。
比如在软件开发的前期,新思科技的Cigital咨询团队将严格确保每一家客户获得最准确的安全评估;在企业需要时,通过与数百名安全和质量专家的交流,缩小检测空白、进行深度的测试,并快速扩展以管理高需求测试期;根据行动计划和指标定制,交付“开箱即用”的专业服务,包括云安全和物联网及嵌入式软件测试;为培养软件开发人才,培训亦不可或缺,新思科技为软件开发机构中的每个角色提供培训,帮助他们发展必要的技能,以创建和维护安全、 高质量的软件。
服务中国数字化转型
自1995年以来,新思科技一直致力于中国市场。目前,新思科技在上海、香港、深圳和武汉设有分支机构,拥有员工2000多名。武汉研发和技术支持中心于2013年正式启用,武汉研发团队有189名员工,预计到2020年将扩编至500名。
“中国对新思科技是一个非常非常重要的市场,这也是我们为什么在这里设置研发机构、招募了2000人、投入大量资源的原因。”陈玉贞指出。
在数字化转型过程中,企业越来越依赖于软件。她直言道,整个中国都是非常进取的,并且在很多地方已经领先于世界上其他地方,但在软件安全投入上仍有可进步之处。中国企业IT投资中仅有1%的预算用于安全性方面,而国外成熟市场这个数字则高达15%——对其而言,这背后也蕴藏着巨大的商业机会。
她还介绍说,金融服务、汽车、电信及互联网是SIG在中国的重点关注行业,其电信行业客户中不乏中国移动、中兴、烽火和联想这样的重量级企业。
就在最近,这家公司发布了其最新版本的软件安全构建成熟度模型—BSIMM8。这是BSIMM模型第一次在亚太区进行发布,也是首次进行中文版本发布。新思科技软件质量与安全部门高级安全架构师杨国梁表示,BSIMM是一个免费开放模型,报告数据内容免费开放,企业可以拿到报告自己进行评估。而新思科技在其中扮演的角色是去收集和维护数据,并确保这些数据的新鲜度,同时也会提供评估服务。
BSIMM8收集了来自109家公司的数据,参与BSIMM8调研的公司来自有代表性的垂直行业,包括金融服务、云、医疗卫生、物联网和保险。在国内公开宣布使用BSIMM模型进行评估的企业包括领先视频监控解决方案供应商大华股份,通过与新思科技的合作,大华股份希望加强其物联网设备和解决方案的安全性。 
