原标题:捍卫中国软件安全,开源网安势在必行
2020年,新冠肺炎疫情爆发,实体经济按下暂停键,但依靠网络建设、远程办公、电子商务等数字经济手段的快速普及,中国有力地保障了抗疫成功和经济发展。
但数字经济在催生国内第二发展曲线的同时,也打开了威胁、攻击等黑产的潘多拉魔盒,让数字经济所面临的威胁不断加剧,危害企业、国家、人民的生命安全。2020年11月29日感恩节周末,富士康母公司鸿海集团位于墨西哥的工厂遭遇了“DoppelPaymer”勒索软件的攻击。黑客入侵了约1200台服务器,要求富士康支付1804.0955枚比特币作为赎金,而按照当时比特币的价格估算人民币超2亿元。这只是冰山一角,SolarWinds供应链APT攻击的风暴正在席卷全球,与曾经波及工控系统的NotPetya和Havex类似,SolarWinds供应链攻击中的SUNBURST和SUPERNOVA恶意软件(后门)再次证明,当下的防病毒系统、入侵检测系统对此类攻击无能为力,而随着OT网络与企业网络的集成化发展,类似SolarWinds供应链漏洞的巨大威力已经引起了勒索软件组织的极大兴趣。如果能够杀死甚至控制工控系统OT网络的关键进程,那么勒索赎金的筹码也许将不再是解密数据,而是花钱消灾甚至拿钱换命。
“十四五”是数字化转型的关键阶段,在解决缺芯少魂问题的同时,广泛使用开源技术和组件“弯道超车”成为软件行业的共识。据Gartner统计,99%的组织在其 IT系统中使用了开源组件,可以说,现代软件大多数是被“组装”出来的,不是被“开发”出来的。使用开源组件作为“原材料”,加上适配中国实际业务场景的代码,最后“组装”出自己的软件。可以说,开源组件已成为现代软件开发的基础设施。
与此同时,随着先进装备的软件化程度不断提升,由软件缺陷和漏洞引发的安全问题日益凸显,开源软件安全已经成为焦点问题。
国产化替代大势所趋
过去我国的信息化、数字化建设客观上有“重硬轻软”的问题,在软件领域的投入力度存在不足,而软件又贯穿了各种信息化产品研发设计、生产控制、测试组装等基础环节。根据Gartner的数据,2019年全球3.8万亿美元的IT支出中有4310亿美元为软件支出,占比约为11%;而我国2019年2.9万亿元的IT支出中有878亿元为软件支出,占比仅为3%,远远低于全球平均水平。而具体到制造业上,我国作为制造大国,工业软件发展和应用水平却与地位不符,上一阶段的工业自动化建设也偏向于硬件设备端,工业软件的发展落后于整体产业升级的进度。因此为了自主实现我国制造业向智能制造的升级,就必须要尽快弥补在工业软件层面的“短板”。
根据赛迪顾问于2019年8月发布的《中国工业软件发展白皮书(2019)》,我国将在一段时期内都以嵌入类软件为主,预计到2021年市场规模将达到1510亿元,而信息管理类和生产控制类的市场规模均将达到450亿元左右。国产软件处于“管理软件强、工程软件弱;低端软件多,高端软件少”的现状。
传统国产替代被认为是依靠政策推动的市场,替代进程受政策力度影响大,随着中美关系紧张,科技高地的争夺,以及人工智能生态,云计算新生态的发展,我们认为国产替代发展到现阶段,产品已经进入了一个创新的阶段,信创不仅是国产替代,同样也需要创新产品。很多产品已经无法在海外找到替代的原型,国内信创产品已经进入了创新者阶段,而芯片和生态成为了信创真正的创新点,行业应用将依托应用软件的创新加速发展。
国产软件替代有望先行。从B端使用者角度,首先市场上出现可用、易用、好用的国产应用软件,而后软件厂商逐步对国产硬件进行适配,最终实现国产替代的路径较为合理。根据Gartner预计,2021年市场规模分别将达3772亿元与1207亿元。
占据中国市场长达几十年的国外产品在性能和速度上是优越的,国产化替代的进程必定是漫长且疼痛的。但是必须坚持这么做,如果不是自主可控的产品,中国产业可能在一天之内瘫痪,这不是危言耸听。如果说国产化替代是一场战争,那么CPU、操作系统、数据库等基础软硬件,就是自主可控的“正面战场”,是国家网络安全的基础和保障。
过去相当长的时间,我们的IT产业生态基本是建立在国外科技企业的硬软件之上,国内企业在产品性能、技术创新、生态建设等方面与之相比,仍有较大差距。不过,近年来国产化替代呈加速趋势,这背后是多方力量的共同推动,包括日趋复杂的国际政治经济大环境、国内鼓励的产业政策、企业数字化转型催生的新需求,以及国产软件品牌的崛起等。
国内SDL任重道远
微软2000年提出安全开发生命周期(SDL)已有十多年历史,在帮助开发人员构建更安全的软件和解决安全合规要求的同时,软件开发过程方法论和工具进一步降低了开发成本。如今,SDL已进入我国软件开发行业的视野。不同于网络安全保障是在各类信息化产品开发完成上线后的防护,安全开发目的是从各类信息化产品的开发阶段将软件的攻击面最小化、安全威胁最低化、安全质量最高化。其本质是从信息化产品开发的源头保障网络安全。
微软对安全开发过程的重视有目共睹,从软件生命周期的角度来保障安全的理念大家都接受,可毕竟中美法规、市场、文化差距较大,微软SDL产品在国内迟迟未能落地。但是,SDL的意识认知在国内网信行业生根发芽,近年在落地应用方面已取得了重要发展。海康威视、滴滴、阿里等国内知名信息技术产品研发企业和互联网公司纷纷在自身的产品研发和系统开发过程中应用了适应自身企业特征的SDL。
然而,上述践行的SDL自身企业特征过于突出,并不能解决行业的共有痛点。国内SDL的发展不能依赖于大型互联网公司的实践与开拓,专业信息安全公司也应该从中发挥作用。SDL的发展要考虑各行业的特征和需求,并结合行业特征去分别建立适合本行业SDL。只有各行各业都重视和实践SDL,才能促进中国网络安全保障再上台阶。
安全左移占据开发管理关键策略
在国家高度重视网络安全保障的情况下,没有经过合理安全开发、充分安全测试、有效消除缺陷的“自带漏洞”软件产品大量涌入市场,并投入实际应用。这必将为已初步成形的国家网络安全保障态势带来新的隐患。
业界已普遍意识到把安全从运维端左移到开发过程中,才是更优的选项。如微软这样的大型企业也无法避免软件安全漏洞所带来的损失,国内软件行业也将会同样面临安全问题所带来的严峻考验。国产软件行业爆发的同时,安全需求市场也必将快速崛起。
随着云计算的普遍应用,微服务架构与容器技术的使用趋向成熟,既为企业业务高速发展提供了充足的技术保障,又对软件开发运维工作带来了更高的要求。各企业适用的开发运维模型不尽相同,有瀑布模型、敏捷模型、DevOps等,软件安全一直都是贯穿始终的核心,形成不同的安全开发模型。在软件开发生命周期(Software Development Life Cycle)内,不同的安全开发模型,适用场景各有侧重:SDL安全开发模型适用于系统软件,如操作系统,编译处理软件,数据库及管理系统,硬件控制系统等,具有综合性,周期长,迭代慢等特点,其开发过程如同瀑布流程,一步一步地进行分析、预测、实现、测试、实施和支持阶段;DevSecOps安全开发模型适用于应用软件,如文字表格处理,图形图像处理,统计演示软件,网络通信软件等,具有周期短、迭代快、市场反馈灵活等特点,与传统开发流程相比,能够帮助企业更快的发展和改进产品,更好的服务其客户,并在市场上高效的参与竞争。
开源网安肩负使命
开源网安一直以来秉承“捍卫中国软件安全”的核心理念,致力于为中国软件安全保驾护航,帮助企业提升软件的安全与质量,持续向客户提供覆盖软件安全开发全生命周期的安全产品、解决方案、安全培训及安全服务。
其中开源网安软件安全全生命周期平台(S-SDLC)整合了安全开发流程、方法、工具,帮助企业快捷交付安全、可靠的软件。平台继承开源网安庞大的威胁数据库和安全需求库,全面覆盖软件开发从架构设计到部署运维各个阶段的安全需求。以打造安全的软件产品为核心目标,基于差距分析和现有开发流程,着重构造安全开发能力,可定制化交付。
除此之外,开源网安还提供灰盒安全测试平台(VulHunter)、开源组件安全及合规管理平台(SourceCheck)、代码审核平台(CodeSec)、模糊测试平台(SFuzz)、实时应用自我防护平台(RASP)等多项产品,同时,基于各产品综合特性,进行优化组合,提供DevSecOps平台解决方案,为软件安全保驾护航。
开源网安作为“软件安全行业的创领者”,未来将不断提升自身水准,紧跟国家政策,助力政府及企业保障软件安全,为推动中国软件产业实现高质量发展作出贡献。