应用开发安全一致性是安全界重点关注的内容,在今年的RSA会议上,笔者看到了国外厂家展示这方面的安全产品,通过与他们进行交流并观察现场演示,笔者认为今年RSA的参展商在应用开发安全展示了以下三个方向,值得我们关注:开源组件安全漏洞检测、代码安全测试自动化、软件安全开发咨询中的合规遵从。
开源组件安全漏洞检测
就目前软件开发而言,下载和使用开源组件在软件开发中已是主要的开发方式之一。2016年每周有7000个新的项目和70000个开源组件被发布。整个2016年在社区仓库上统计有超过1000亿次JAVA, npm,PyPI以及RubyGems等组件下载请求,软件开发公司平均每年下载超过20000个组件,而平均16个开源组件中就有1个含有组件含有至少1个已知的安全漏洞。WhiteSource发布的研究结果表明CVE-2018-6485(GLIBC),CVE-2017-12626(Apache.pol),CVE-2018-6188(django),CVE2018-6186(Jenkins),CVE-2017-1000356(Jenkins)这5个开源组件漏洞是最为危险的TOP 5漏洞。因此如何消除开源组件安全漏洞就成为了软件开发中一个需要关注的重点方向。
展区中WhiteSouce公司的解决方式是建立一个开源组件的漏洞资料库,该漏洞库有超过300000个漏洞,包含了超过200种编程语言。他们开发了自动化的组件检测工具,该工具提供了超过20种开发环境和容器以用于组件检测。工具检测后还可提供修补的建议,帮助开发人员能容易的进行漏洞修补。
代码安全测试自动化
软件代码安全测试是软件开发过程中不可缺失的部分。在本次会议中,笔者深深感受到国外更多的是通过自动化的测试和检测工具来完成检测的标准化和高效化。这类厂家也非常多,在Moscons南馆三楼305会场后场就集中了大约8家提供这样类型产品的公司。这些产品中,有的是提供组件安全漏洞检测(如前面提到的WhiteSource公司);有的是提供整个软件安全开发生命周期的安全管控,包括源码控制、策略的强化、持续的监控与对比等(如Sonatype公司,WhiteHat、Veracode公司)。这些产品大部分均不需要安装客户端程序。
图:Sonatype公司平台产品的软件组件检测
图:Sonatype公司平台产品的组件安全评分
图:Veracode公司的应用安全平台
软件安全开发咨询需考虑合规遵从
国外法律对合规的要求,无论是覆盖的广度、执行的强度以及处罚力度上均超过国内。因此国外比国内普遍重视和强调对合规的遵从性,即便是在软件开发领域。今年我们看到在这些方面有一些国外安全厂商,如Veracode、newcontext、evident.io等,凭借自身对合规的理解以及拥有的软件开发管控经验为用户提供软件安全开发的合规咨询。这些咨询服务包括安全开发的最佳实践,对PCI DSS以及GDPR等合规要求的满足。此外,国外厂商的软件安全开发评估产品还集成了合规遵从性评估功能,能出具与上述合规相比的遵从符合性报告。国内安全厂商在软件开发咨询上更多的是强调技术开发的安全性,如OWASP TOP 10,较少考虑软件代码本身对合规的遵从性。在这一点上笔者认为值得国内安全厂商进行学习。
图:evident.io公司的评估报告
图:Veracode公司的安全服务