当我们每次发送出去一个信息;当我们用智能门锁开门;当我们通过无钥匙系统打开车门,这一系列的操作背后您是否想过,我们的关键性敏感数据是否有被保护,这些关键性数据是否会被有心的人所利用?随着接入网络的终端设备呈几何式增长,随着每天TB级规模的数据在网络中产生,我们的关键性数据是否还安全?
在整个智慧生态构筑的过程中,数据不仅是整个智辉生态的“养分”,数据的安全和隐私同样是行业和终端用户都非常重视的一环。OPPO和益索普针对隐私保护安全的诉求做过一个行业调查,98%的用户都非常注重数据的安全和隐私,其中35%相较于便捷的服务更在意数据的安全和隐私保护。可见在泛在连接的智辉生态中,用户对隐私保护的关注度空前的高涨。
同时监管层面,国家也颁布了《网络安全法》、《个人信息保护法》以及《数据安全法》,对移动终端的信息保护有很高的要求。在用户意识提升和法律法规下,OPPO在产品设计阶段就将用户的隐私保护考虑在内,并合多年的合作伙伴新思科技一起共建可信安全的智辉生态。
Synopsys新思科技是一家全球性的软件和半导体设计公司,专注于提供电子设备自动化软件、半导体设计和验证工具、嵌入式软件以及相关服务。Synopsys新思科技提供多种安全性解决方案,包括Coverity静态代码分析、Black Duck软件组件分析、Defensics漏洞扫描工具、Protecode软件合规性和安全性、Cybersecurity服务、硬件安全性解决方案,新思科技通过一整套软硬件安全解决方案帮助品牌在开发、部署和维护软件和硬件系统时识别和解决安全性问题,提高产品和系统的整体安全性。
安全态势可控
在“远见 2023新思科技开发者大会”上,天极网有幸采访到新思科技中国区应用安全技术总监付红勋先生以及新思科技合作伙伴OPPO终端安全领域总经理王安宇先生,新思科技已经连续三年蝉联OPPO合作伙伴类大奖,我们围绕新思科技如何助力OPPO落实数字化可信工程展开了讨论。
新思科技中国区应用安全技术总监付红勋先生跟我们分享到,一个企业制定和实施一套策略和措施,旨在保护应用程序和软件系统免受潜在安全风险和威胁的行为,我们称作AppSec计划,企业内部在推进AppSec计划时会认为这是一个投资回报率低、风险把控准确率低、安全活动速度低的项目,同时安全策略难以统一做管理,大量的开源代码也给有效、统一的管理带来巨大的挑战。
针对这些挑战新思科技推出ASPM安全态势管理解决方案,通过编排测试解决针对合适的对象自动调用合适的工具,例如对开源软件做测试肯定要找SCA的工具扫描,为了应对不同的代码门禁还要做合适的深度;另一块则是问题分类和优先级排序,不同的工具会扫描出同一个代码位置的同一个问题,ASPM会将上报的相同问题去重,解决开发人员无谓的重复劳动,并且以标准化的方式进行优先级的排序。
从软件开发的模式看,无论采用瀑布模型也好、CI/CD的敏捷迭代也好、甚至用Cloud Native的开发模式,从需求阶段、设计阶段到维护阶段,新思科技都有不同的工具去探测安全状态。可以认为它是一种探针。SRM平台就是需要把这些探针所采集到的信号集成进来。新思科技的 ASPM方案目前已经支撑了135多种商业及OSS的 DevOps 和 AppSec 工具集成,也是业界目前所支持的第三方工具(包括开源工具)最多的一款平台。
基于新思科技的ASPM安全态势管理解决方案统一了平台结果的存储、去重和排序的管理简化;可以映射到具体的代码行实现风险状态的可视化,进而实现工作流程的标准化;新思科技可以快速同业界最佳AST能力,得益于Coverity静态代码分析和Black Duck软件组成分析的内嵌,实现快速确定风险优先级。
媒体聊到现在越来越多的人通过AI来执行软件代码撰写,就这一趋势是否会对软件安全带来影响。付红勋先生表示AI写代码是一个高速发展的趋势,通过新思科技的Black Duck可以将混杂在AIGC代码里的开源代码扫描出来,如果AI生成的代码有问题,新思科技的Coverity SAST工具可以在代码层面进行深层次的漏洞扫描。
大模型本身拥有通用型并不通用于所有企业的业务流,所以新思科技通过IAST交互式应用安全测试工具和WhiteHat服务能更好的在API层面找出AI生成代码的业务逻辑的漏洞和问题,帮助企业把特有的业务逻辑层面及API层面的问题通过可视化的方式识别出来。
移动安全可及
新思科技的MAST工具旨在解决移动应用安全测试中的挑战,因为在移动时代,安全和隐私问题变得尤为重要。这个领域面临两个主要问题:全面性和速度,这两者似乎矛盾,但却都是必要的。
首先,移动应用开发使用多种语言和框架,例如Kotlin、OC和Flutter,因此安全测试工具必须跨足多种编程语言和框架,以确保全面性。
不同的安全测试技术,如SAST、DAST和IAST,各有优劣,彼此互补,因此需要综合使用这些技术。同时,由于市场上的竞争激烈,上市时间要求快,所以测试过程也必须高效。
当记者非常好奇OPPO如何确保用户的隐私安全问题时,王安宇先生回答道OPPO对直接涉及消费者的数据采集非常谨慎,包括通讯录、照片、视频等信息备份到云端。OPPO严格遵守各国家和地区最严格的法律法规,如GDPR和中国的《个人信息保护法》,以确保个人数据的保护。
OPPO将消费者的利益置于首位,严格按照法律要求进行处理。从技术角度来看,第一类数据,直接为消费者提供服务的数据,无论是数据传输从手机到云端,还是云端中的存储和传输,我们都采取了安全措施,并通过白皮书向消费者、媒体和监管机构公开,以展示我们如何通过技术手段来保护数据。
其次,我们收集用于产品改进的数据,例如用户反馈无法拨打电话的问题。在这种情况下,我们遵循用户知情、用户授权和数据最小化的原则。如果我们收集与通话质量无关的数据,不会包含用户的手机号等敏感信息。只有在特殊情况下,如客服回拨,才会记录手机号,也要遵循数据最小化原则。
对于第二类数据,即不直接为消费者提供服务的数据,我们严格执行知情原则、授权原则和数据最小化原则,这些原则在公司内部通过各种流程、培训和规章制度得以实施。
无论是哪种类型的数据,只要涉及用户或消费者的信息,我们都在公司内部建立了严格的个人信息保护流程、制度和规章要求,包括技术能力、基础设施和管理规定,以确保在企业内部得以执行。这是我们对数据隐私和安全的承诺。
安全开发可行
安全编码是应用安全的前提;开发者的安全意识和技能是安全编码的前提;好的DST平台是开发者拥有安全能力的前提。
新思科技中国区应用安全技术总监付红勋先生告诉记者,人是安全开发的核心环节,开发人员不仅要有一定的安全意识,还需要在技术和业务线上有关联意识,新思科技全新的开发人员安全培训DST平台,是一款针对开发人员安全培训的企业级敏捷学习平台,拥有60多种编程语言和框架并且持续增加,提供50多个安全类别、150个以上的漏洞专题、8000多个学习活动,提供8种语言(含中文)。
DST平台已经与新思科技的Coverity和Seeker两款工具无缝集成在一起,当扫描出代码风险和漏洞会自动与DST平台内容进行匹配,告诉开发者缺陷和漏洞有哪些危害、应该怎么去修复,将培训内容和业务进行强关联性,强场景化,让开发人员能获得非常有针对性的修复建议,这是DST平台最核心的价值。
OPPO终端安全领域总经理王安宇先生补充道,实现安全开发需要关注三个关键因素:人、流程和技术。人是编写代码的关键,因此责任在于开发人员。审查代码的测试人员,但最终代码安全的主要责任在于开发人员自己。所以OPPO在开发代码初期以及每一个环节的流程、技术、人都遵循企业安全合规体系建设的方法论,谁写代码谁对代码安全负有第一责任。其中变量较大的人则通过新思科技的开发人员安全培训平台来实现技术和理念上的相对统一,新思科技的开发人员开全培训拥有8000多种学习活动,支持60多种编码语言和开发框架,让开发人员能跟好的将技能和业务场景勾连起来。
近几年用户信息泄漏的事件比比皆是,任何新技术的演进都是一把达摩克利斯之剑,增加效率和便捷的同时也带来日趋严峻的隐私泄漏风险。近些年来,随着大家对隐私数据保护意识的增强,安全问题在各行各业都成为焦点。在这个软件定义世界、软件改变世界的时代,新思科技始终在随着市场需求的变化不断的迭代自己的产品的和组合,从过去的Coverity静态代码分析、Black Duck软件组件分析、Defensics漏洞扫描工具、Protecode软件合规性和安全性、Cybersecurity服务、硬件安全性解决方案,到现在的ASPM方案和MAST,甚至新思科技还成立了软件质量与安全部门,这些新生力量的加入不仅丰富了产品组合,也让客户在保护关键性隐私和构建安全可信软件上有了更多的选择。