捍衛(wèi)中國(guó)軟件安全，開源網(wǎng)安勢(shì)在必行

2020年,新冠肺炎疫情爆發(fā),實(shí)體經(jīng)濟(jì)按下暫停鍵,但依靠網(wǎng)絡(luò)建設(shè)、遠(yuǎn)程辦公、電子商務(wù)等數(shù)字經(jīng)濟(jì)手段的快速普及,中國(guó)有力地保障了抗疫成功和經(jīng)濟(jì)發(fā)展。

但數(shù)字經(jīng)濟(jì)在催生國(guó)內(nèi)第二發(fā)展曲線的同時(shí),也打開了威脅、攻擊等黑產(chǎn)的潘多拉魔盒,讓數(shù)字經(jīng)濟(jì)所面臨的威脅不斷加劇,危害企業(yè)、國(guó)家、人民的生命安全。2020年11月29日感恩節(jié)周末,富士康母公司鴻海集團(tuán)位于墨西哥的工廠遭遇了“DoppelPaymer”勒索軟件的攻擊。黑客入侵了約1200臺(tái)服務(wù)器,要求富士康支付1804.0955枚比特幣作為贖金,而按照當(dāng)時(shí)比特幣的價(jià)格估算人民幣超2億元。這只是冰山一角,SolarWinds供應(yīng)鏈APT攻擊的風(fēng)暴正在席卷全球,與曾經(jīng)波及工控系統(tǒng)的NotPetya和Havex類似,SolarWinds供應(yīng)鏈攻擊中的SUNBURST和SUPERNOVA惡意軟件(后門)再次證明,當(dāng)下的防火墻、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)對(duì)此類攻擊無(wú)能為力,而隨著OT網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)的集成化發(fā)展,類似SolarWinds供應(yīng)鏈漏洞的巨大威力已經(jīng)引起了勒索軟件組織的極大興趣。如果能夠殺死甚至控制工控系統(tǒng)OT網(wǎng)絡(luò)的關(guān)鍵進(jìn)程,那么勒索贖金的籌碼也許將不再是解密數(shù)據(jù),而是花錢消災(zāi)甚至拿錢換命。

“十四五”是數(shù)字化轉(zhuǎn)型的關(guān)鍵階段,在解決缺芯少魂問題的同時(shí),廣泛使用開源技術(shù)和組件“彎道超車”成為軟件行業(yè)的共識(shí)。據(jù)Gartner統(tǒng)計(jì),99%的組織在其 IT系統(tǒng)中使用了開源組件,可以說,現(xiàn)代軟件大多數(shù)是被“組裝”出來的,不是被“開發(fā)”出來的。使用開源組件作為“原材料”,加上適配中國(guó)實(shí)際業(yè)務(wù)場(chǎng)景的代碼,最后“組裝”出自己的軟件。可以說,開源組件已成為現(xiàn)代軟件開發(fā)的基礎(chǔ)設(shè)施。

與此同時(shí),隨著先進(jìn)裝備的軟件化程度不斷提升,由軟件缺陷和漏洞引發(fā)的安全問題日益凸顯,開源軟件安全已經(jīng)成為焦點(diǎn)問題。

國(guó)產(chǎn)化替代大勢(shì)所趨

過去我國(guó)的信息化、數(shù)字化建設(shè)客觀上有“重硬輕軟”的問題,在軟件領(lǐng)域的投入力度存在不足,而軟件又貫穿了各種信息化產(chǎn)品研發(fā)設(shè)計(jì)、生產(chǎn)控制、測(cè)試組裝等基礎(chǔ)環(huán)節(jié)。根據(jù)Gartner的數(shù)據(jù),2019年全球3.8萬(wàn)億美元的IT支出中有4310億美元為軟件支出,占比約為11%;而我國(guó)2019年2.9萬(wàn)億元的IT支出中有878億元為軟件支出,占比僅為3%,遠(yuǎn)遠(yuǎn)低于全球平均水平。而具體到制造業(yè)上,我國(guó)作為制造大國(guó),工業(yè)軟件發(fā)展和應(yīng)用水平卻與地位不符,上一階段的工業(yè)自動(dòng)化建設(shè)也偏向于硬件設(shè)備端,工業(yè)軟件的發(fā)展落后于整體產(chǎn)業(yè)升級(jí)的進(jìn)度。因此為了自主實(shí)現(xiàn)我國(guó)制造業(yè)向智能制造的升級(jí),就必須要盡快彌補(bǔ)在工業(yè)軟件層面的“短板”。

根據(jù)賽迪顧問于2019年8月發(fā)布的《中國(guó)工業(yè)軟件發(fā)展白皮書(2019)》,我國(guó)將在一段時(shí)期內(nèi)都以嵌入類軟件為主,預(yù)計(jì)到2021年市場(chǎng)規(guī)模將達(dá)到1510億元,而信息管理類和生產(chǎn)控制類的市場(chǎng)規(guī)模均將達(dá)到450億元左右。國(guó)產(chǎn)軟件處于“管理軟件強(qiáng)、工程軟件弱;低端軟件多,高端軟件少”的現(xiàn)狀。

傳統(tǒng)國(guó)產(chǎn)替代被認(rèn)為是依靠政策推動(dòng)的市場(chǎng),替代進(jìn)程受政策力度影響大,隨著中美關(guān)系緊張,科技高地的爭(zhēng)奪,以及人工智能生態(tài),云計(jì)算新生態(tài)的發(fā)展,我們認(rèn)為國(guó)產(chǎn)替代發(fā)展到現(xiàn)階段,產(chǎn)品已經(jīng)進(jìn)入了一個(gè)創(chuàng)新的階段,信創(chuàng)不僅是國(guó)產(chǎn)替代,同樣也需要?jiǎng)?chuàng)新產(chǎn)品。很多產(chǎn)品已經(jīng)無(wú)法在海外找到替代的原型,國(guó)內(nèi)信創(chuàng)產(chǎn)品已經(jīng)進(jìn)入了創(chuàng)新者階段,而芯片和生態(tài)成為了信創(chuàng)真正的創(chuàng)新點(diǎn),行業(yè)應(yīng)用將依托應(yīng)用軟件的創(chuàng)新加速發(fā)展。

國(guó)產(chǎn)軟件替代有望先行。從B端使用者角度,首先市場(chǎng)上出現(xiàn)可用、易用、好用的國(guó)產(chǎn)應(yīng)用軟件,而后軟件廠商逐步對(duì)國(guó)產(chǎn)硬件進(jìn)行適配,最終實(shí)現(xiàn)國(guó)產(chǎn)替代的路徑較為合理。根據(jù)Gartner預(yù)計(jì),2021年市場(chǎng)規(guī)模分別將達(dá)3772億元與1207億元。

占據(jù)中國(guó)市場(chǎng)長(zhǎng)達(dá)幾十年的國(guó)外產(chǎn)品在性能和速度上是優(yōu)越的,國(guó)產(chǎn)化替代的進(jìn)程必定是漫長(zhǎng)且疼痛的。但是必須堅(jiān)持這么做,如果不是自主可控的產(chǎn)品,中國(guó)產(chǎn)業(yè)可能在一天之內(nèi)癱瘓,這不是危言聳聽。如果說國(guó)產(chǎn)化替代是一場(chǎng)戰(zhàn)爭(zhēng),那么CPU、操作系統(tǒng)、數(shù)據(jù)庫(kù)等基礎(chǔ)軟硬件,就是自主可控的“正面戰(zhàn)場(chǎng)”,是國(guó)家網(wǎng)絡(luò)安全的基礎(chǔ)和保障。

過去相當(dāng)長(zhǎng)的時(shí)間,我們的IT產(chǎn)業(yè)生態(tài)基本是建立在國(guó)外科技企業(yè)的硬軟件之上,國(guó)內(nèi)企業(yè)在產(chǎn)品性能、技術(shù)創(chuàng)新、生態(tài)建設(shè)等方面與之相比,仍有較大差距。不過,近年來國(guó)產(chǎn)化替代呈加速趨勢(shì),這背后是多方力量的共同推動(dòng),包括日趨復(fù)雜的國(guó)際政治經(jīng)濟(jì)大環(huán)境、國(guó)內(nèi)鼓勵(lì)的產(chǎn)業(yè)政策、企業(yè)數(shù)字化轉(zhuǎn)型催生的新需求,以及國(guó)產(chǎn)軟件品牌的崛起等。

國(guó)內(nèi)SDL任重道遠(yuǎn)

微軟2000年提出安全開發(fā)生命周期(SDL)已有十多年歷史,在幫助開發(fā)人員構(gòu)建更安全的軟件和解決安全合規(guī)要求的同時(shí),軟件開發(fā)過程方法論和工具進(jìn)一步降低了開發(fā)成本。如今,SDL已進(jìn)入我國(guó)軟件開發(fā)行業(yè)的視野。不同于網(wǎng)絡(luò)安全保障是在各類信息化產(chǎn)品開發(fā)完成上線后的防護(hù),安全開發(fā)目的是從各類信息化產(chǎn)品的開發(fā)階段將軟件的攻擊面最小化、安全威脅最低化、安全質(zhì)量最高化。其本質(zhì)是從信息化產(chǎn)品開發(fā)的源頭保障網(wǎng)絡(luò)安全。

微軟對(duì)安全開發(fā)過程的重視有目共睹,從軟件生命周期的角度來保障安全的理念大家都接受,可畢竟中美法規(guī)、市場(chǎng)、文化差距較大,微軟SDL產(chǎn)品在國(guó)內(nèi)遲遲未能落地。但是,SDL的意識(shí)認(rèn)知在國(guó)內(nèi)網(wǎng)信行業(yè)生根發(fā)芽,近年在落地應(yīng)用方面已取得了重要發(fā)展。華為、?？低?、滴滴、阿里等國(guó)內(nèi)知名信息技術(shù)產(chǎn)品研發(fā)企業(yè)和互聯(lián)網(wǎng)公司紛紛在自身的產(chǎn)品研發(fā)和系統(tǒng)開發(fā)過程中應(yīng)用了適應(yīng)自身企業(yè)特征的SDL。

然而,上述踐行的SDL自身企業(yè)特征過于突出,并不能解決行業(yè)的共有痛點(diǎn)。國(guó)內(nèi)SDL的發(fā)展不能依賴于大型互聯(lián)網(wǎng)公司的實(shí)踐與開拓,專業(yè)信息安全公司也應(yīng)該從中發(fā)揮作用。SDL的發(fā)展要考慮各行業(yè)的特征和需求,并結(jié)合行業(yè)特征去分別建立適合本行業(yè)SDL。只有各行各業(yè)都重視和實(shí)踐SDL,才能促進(jìn)中國(guó)網(wǎng)絡(luò)安全保障再上臺(tái)階。

安全左移占據(jù)開發(fā)管理關(guān)鍵策略

在國(guó)家高度重視網(wǎng)絡(luò)安全保障的情況下,沒有經(jīng)過合理安全開發(fā)、充分安全測(cè)試、有效消除缺陷的“自帶漏洞”軟件產(chǎn)品大量涌入市場(chǎng),并投入實(shí)際應(yīng)用。這必將為已初步成形的國(guó)家網(wǎng)絡(luò)安全保障態(tài)勢(shì)帶來新的隱患。

業(yè)界已普遍意識(shí)到把安全從運(yùn)維端左移到開發(fā)過程中,才是更優(yōu)的選項(xiàng)。如微軟這樣的大型企業(yè)也無(wú)法避免軟件安全漏洞所帶來的損失,國(guó)內(nèi)軟件行業(yè)也將會(huì)同樣面臨安全問題所帶來的嚴(yán)峻考驗(yàn)。國(guó)產(chǎn)軟件行業(yè)爆發(fā)的同時(shí),安全需求市場(chǎng)也必將快速崛起。

隨著云計(jì)算的普遍應(yīng)用,微服務(wù)架構(gòu)與容器技術(shù)的使用趨向成熟,既為企業(yè)業(yè)務(wù)高速發(fā)展提供了充足的技術(shù)保障,又對(duì)軟件開發(fā)運(yùn)維工作帶來了更高的要求。各企業(yè)適用的開發(fā)運(yùn)維模型不盡相同,有瀑布模型、敏捷模型、DevOps等,軟件安全一直都是貫穿始終的核心,形成不同的安全開發(fā)模型。在軟件開發(fā)生命周期(Software Development Life Cycle)內(nèi),不同的安全開發(fā)模型,適用場(chǎng)景各有側(cè)重:SDL安全開發(fā)模型適用于系統(tǒng)軟件,如操作系統(tǒng),編譯處理軟件,數(shù)據(jù)庫(kù)及管理系統(tǒng),硬件控制系統(tǒng)等,具有綜合性,周期長(zhǎng),迭代慢等特點(diǎn),其開發(fā)過程如同瀑布流程,一步一步地進(jìn)行分析、預(yù)測(cè)、實(shí)現(xiàn)、測(cè)試、實(shí)施和支持階段;DevSecOps安全開發(fā)模型適用于應(yīng)用軟件,如文字表格處理,圖形圖像處理,統(tǒng)計(jì)演示軟件,網(wǎng)絡(luò)通信軟件等,具有周期短、迭代快、市場(chǎng)反饋靈活等特點(diǎn),與傳統(tǒng)開發(fā)流程相比,能夠幫助企業(yè)更快的發(fā)展和改進(jìn)產(chǎn)品,更好的服務(wù)其客戶,并在市場(chǎng)上高效的參與競(jìng)爭(zhēng)。

開源網(wǎng)安肩負(fù)使命

開源網(wǎng)安一直以來秉承“捍衛(wèi)中國(guó)軟件安全”的核心理念,致力于為中國(guó)軟件安全保駕護(hù)航,幫助企業(yè)提升軟件的安全與質(zhì)量,持續(xù)向客戶提供覆蓋軟件安全開發(fā)全生命周期的安全產(chǎn)品、解決方案、安全培訓(xùn)及安全服務(wù)。

其中開源網(wǎng)安軟件安全全生命周期平臺(tái)(S-SDLC)整合了安全開發(fā)流程、方法、工具,幫助企業(yè)快捷交付安全、可靠的軟件。平臺(tái)繼承開源網(wǎng)安龐大的威脅數(shù)據(jù)庫(kù)和安全需求庫(kù),全面覆蓋軟件開發(fā)從架構(gòu)設(shè)計(jì)到部署運(yùn)維各個(gè)階段的安全需求。以打造安全的軟件產(chǎn)品為核心目標(biāo),基于差距分析和現(xiàn)有開發(fā)流程,著重構(gòu)造安全開發(fā)能力,可定制化交付。

除此之外,開源網(wǎng)安還提供灰盒安全測(cè)試平臺(tái)(VulHunter)、開源組件安全及合規(guī)管理平臺(tái)(SourceCheck)、代碼審核平臺(tái)(CodeSec)、模糊測(cè)試平臺(tái)(SFuzz)、實(shí)時(shí)應(yīng)用自我防護(hù)平臺(tái)(RASP)等多項(xiàng)產(chǎn)品,同時(shí),基于各產(chǎn)品綜合特性,進(jìn)行優(yōu)化組合,提供DevSecOps平臺(tái)解決方案,為軟件安全保駕護(hù)航。

開源網(wǎng)安作為“軟件安全行業(yè)的創(chuàng)領(lǐng)者”,未來將不斷提升自身水準(zhǔn),緊跟國(guó)家政策,助力政府及企業(yè)保障軟件安全,為推動(dòng)中國(guó)軟件產(chǎn)業(yè)實(shí)現(xiàn)高質(zhì)量發(fā)展作出貢獻(xiàn)。