軟件，不管是由誰構建的，都很容易受到漏洞攻擊，隨著我們的世界越來越依賴數(shù)字化，更多的軟件被編寫，更多的漏洞也將會出現(xiàn)。現(xiàn)在，開源可以說是構建軟件應用的基礎。如果沒有有效的方法來跟蹤和管理開源，企業(yè)將面臨使用開源所帶來的安全、許可證合規(guī)性和代碼質量風險。

自 2005 年起，NVD 漏洞數(shù)據庫每年都報告 4，000 ~ 8，000 個新漏洞，但是這一數(shù)字在 2017 年激增至 14，645，2018 年增至 16，511，2019 年則增至 17，306。

盡管開源軟件的漏洞少于專有軟件，但是開源安全問題不容忽視。新思科技公司發(fā)布的《2020 年開源安全和風險分析》報告（OSSRA）發(fā)現(xiàn)經過審計的代碼庫中，75%包含具有已知安全漏洞的開源組件，將近一半（49%）的代碼庫包含高風險漏洞，而且 91%的代碼庫包含已經過期四年以上或者近兩年沒有開發(fā)活動的組件。OSSRA 報告由新思科技網絡安全研究中心（CyRC）制作，研究了由 Black Duck 審計服務團隊執(zhí)行的對超過 1，250 個商業(yè)代碼庫的審計結果。

雖然開源是免費的，并且有許多優(yōu)點，但仍需遵循許可證要求。如果企業(yè)有意或者無意地違反所使用組件的許可證要求，則可能會失去其專有代碼的權利或者使 IP 所有權面臨風險。盡管并非所有的漏洞都將帶來災難性的問題，但它們使企業(yè)面臨一系列已知的風險：金融盜竊、企業(yè)間諜活動、勒索軟件、客戶敏感數(shù)據的泄露和潛在的人身安全威脅等。

凱易訊（Calix）所面臨的風險就是一個例子。Calix 是一家領先的云和軟件平臺、系統(tǒng)和服務的供應商，它在亞太地區(qū)包括中國和澳大利亞都有業(yè)務，其中一個海外研發(fā)中心位于中國南京軟件谷。該公司的年營業(yè)額達到 4.8 億美元，為全球超過 1，400 家通訊服務供應商提供服務。Calix 建立和管理由定制、商業(yè)和開源代碼組成的軟件，這些軟件包含數(shù)千萬行的代碼。然而，它所面臨的挑戰(zhàn)是如何發(fā)布符合嚴格標準、高質量、安全的軟件。

Calix 產品工程服務工程總監(jiān) Vivek Singh 表示：“與絕大多數(shù)科技公司一樣，Calix 深刻意識到這些風險，但我們的安全團隊也知道手動分析代碼庫既耗時又昂貴。尤其是對于新興的系統(tǒng)，我們可以手動做很多事情，但是花費會很高。盡管公司之前一直在使用開源掃描工具，但更新非常慢，并沒有跟上新發(fā)現(xiàn)和報告的漏洞信息的速度?！?/p>

如何解決這些問題？

預防往往優(yōu)于事后補救。預防軟件漏洞始于從軟件開發(fā)生命周期早期識別漏洞。這不僅可以在開發(fā)過程結束時交付更安全的產品，同時也將節(jié)約時間和成本。

開發(fā)軟件的時候，每一步都存在潛在的安全問題。由于預算和時間的限制，安全通常被排在軟件開發(fā)流程的最后階段。其實，在軟件開發(fā)之初就應該考慮安全性，并且需要為開發(fā)過程準備好正確的測試工具，方便開發(fā)人員可以在最小的干擾下整合軟件安全管理。這意味著開發(fā)團隊可以更好地管理他們的時間，并且使軟件開發(fā)變得更加容易，安全性也更高。

Vivek Singh 表示 Calix 已經使用 Coverity 靜態(tài)分析超過五年了，并且于大約兩年前也采用了 Black Duck 軟件組成分析和 Defensics 模糊測試。

Coverity 是一種靜態(tài)應用安全測試解決方案（SAST），提供精準的、可操作的補救建議，以及針對特定情景的 eLearning 在線學習，幫助開發(fā)人員快速修復缺陷。它還可以通過自動化測試無縫集成到 CI/CD 管道，以保持開發(fā)速度。

Black Duck 是一種提供全面的軟件組成分析（SCA）解決方案，用于管理由于在應用程序和容器中使用開源而產生的安全性、許可證合規(guī)性和代碼質量風險。

Defensics 是一種自動化的黑盒模糊測試，使得組織可以高效并有效地發(fā)現(xiàn)和修補軟件中的安全漏洞。

Vivek Singh 指出：“一旦為下一個版本開發(fā)了新的開發(fā)流程，所有的這些過程，Coverity、Black Duck 和 Defensics（觸及我們代碼庫的所有相關的掃描過程），都將自動在 Bamboo CI 引擎中進行設置。這是我們日常工作的一部分。當構建的時候（開發(fā)人員簽入代碼），我們有一個集中的主線代碼存儲庫，并且該過程從第一天便開始。所有的報告都是實時并且是最新的。這些都很少涉及手動操作?！?/p>

Vivek Singh 介紹道：“Coverity 解決了所有的靜態(tài)分析問題，并且提供了一個集中數(shù)據庫。它具有出色的報告系統(tǒng)，對于從程序經理到產品經理再到開發(fā)經理，任何人都能夠在一個單一的平臺管理所有的事情，這非常關鍵。盡管在當今市場上有許多靜態(tài)分析工具，但我想說 Coverity 無疑是同類產品中出類拔萃的?！?/p>

當提到 Black Duck 軟件組成分析， Vivek Singh 表示這是三連勝：更快、更好和更實惠，并稱贊道“它使用起來超級簡單，并且在自動化方面，Black Duck 與之前的工具相比有巨大的提升。它有許多非常清晰的報告，使我們清楚地了解到哪些地方需要重點關注，因此我們不需要一位高級架構師來嘗試解碼整個報告并找出在我們代碼庫中的問題。”

Vivek Singh 說：“Defensics 已經成為 Calix 軟件測試套件的一部分，因為我們不斷向市場推出新的產品，當我們涉足網絡行業(yè)的新的領域時，安全性則是首要考慮因素。我們之所以會引入它，并不僅僅因為我們所面臨的挑戰(zhàn)，還因為我們的新產品，我們正開發(fā)的新的軟件在這個領域是非常廣泛的，我們必須研究模糊測試協(xié)議掃描和類似的東西?！?/p>

他說最重要的是可以更快地、更好地交付軟件安全性。他還表示：“我們點擊一個按鈕即可設置 CI 計劃，它可以從 Black Duck、Defensics、 Coverity 和我們的其它安全分析工具提取所有內容，并且它們可以自動插入并生成報告和掃描，如果一個漏洞需要被修復，會立即進入我們的漏洞管理系統(tǒng)?！?/p>

現(xiàn)在，幾乎每家從事商業(yè)活動的公司，無論銷售什么產品，都會使用到軟件，并且很容易受到漏洞攻擊。在精簡的流程和更短的時間內有效提高開發(fā)的軟件的安全性和質量，是公司在數(shù)字時代激烈競爭環(huán)境中所需要的核心優(yōu)勢。
責任編輯:pj