BT

您是否属于早期采用者或者创新人士?InfoQ正在努力为您设计更多新功能。了解更多

韩葆:BSIMM—软件安全成熟度模型
录制于:

| 受访者 韩葆 关注 0 他的粉丝 作者 InfoQ 关注 2 他的粉丝 发布于 2017年7月9日 | 智能化运维、Serverless、DevOps......2017年有哪些最新运维技术趋势?CNUTCon即将为你揭秘!
21:33

个人简介 韩葆,毕业于北京工业大学计算机学院,最初在Sun中国研究院为OpenSolaris操作系统搭建测试平台。后进入安全测试领域,深入研究白盒测试、静态分析、网络协议Fuzzing、渗透测试等技术。经历了研发测试行业和软件安全行业在中国从无到有,从小到大的整个过程。2013年作为中国区首席工程师加入Coverity(2014年被Synopsys收购),成功的将静态分析技术引入中国,致力于软件团队的研发测试与软件安全平台搭建,改善软件质量,提高软件安全性。

QCon是由InfoQ主办的全球顶级技术盛会,每年在伦敦、北京、东京、纽约、圣保罗、杭州、旧金山召开。自2007年3月份首次举办以来,已经有包括传统制造、金融、电信、互联网、航空航天等领域的近万名架构师、项目经理、团队领导者和高级开发人员参加过QCon大会。

   

2. 您能先介绍下自己和Synopsys公司吗?

韩葆:大家好! 我是韩葆,本次Qcon大会的讲师,今天我的议题是关于BSIMM软件安全成熟度的模型。同时,我也是Synopsys Software Integrity Group软件质量和安全部门,解决方案部门的业务负责人,所以很荣幸能够来到这里跟大家介绍我们的解决方案和我们提供的BSIMM架构。

   

3. 那么您能不能介绍下Synopsys公司和它的产品,以及你们知名的用户?

韩葆:,成立时间非常早,但是在超过40个季度我们仍然保持平稳的人流增长率,每年大约7%-8%的增长率。我们以前做EDA设计和芯片验证,一个小芯片可能有几百亿个,甚至上百亿个小的星体管,然后我们需要进行验证、设计、分析、模拟该观点或者该算法。它要求高可靠性和安全性。在之前华为、中兴,以及高通,它们的手机芯片运行后台都是使用Synopsys,而我们需要保证其质量安全,在研究过程中我们发现软件和硬件是不分家的,于是我们在验证中得出经验从硬件扩展到软件,逐步形成了我们Synopsys Software Integrity Group(SIG)这道产品线。软件质量安全的保障主要依赖于安全可靠性能、软件方面的验证和安全性的保障,以及整个全流程的进程。现在SIG的产品线覆盖各大硬件、软件、金融、汽车电子和互联网企业,可以说每个行业前十名的企业,只要有软件研发和IT团队,基本上都是我们的客户,以上便是Synopsys公司的介绍以及我们产品线的介绍。

   

4. 那么你们之前是做微电子元件的测试,现在已经完全转向软件开发测试,或者说两者都有兼顾?

韩葆:我们是两方面兼顾,两条腿走路。大家也都知道硬件和软件不分家,比如我有一辆汽车,那么最基本的就是做汽车芯片设计,而上层的软件,无论是自研的还是外采的,无论是软件和硬件,都需要保证其安全性和可靠性,汽车是一个很典型的行业,如果我的汽车没有做安全性保障,它便容易造成人生命安全财产的损失。

   

5. 您能简单概括介绍下BSIMM 软件的安全成熟度模型吗?与传统模型相比,它的优点是什么?

韩葆:BSIMM软件成熟度模型是世界上最知名的信息安全咨询团队Cigital提出的,这个团队也是整个软件安全行业的创始人。迄今为止,该架构已发行了7个版本,那么BSIMM的概念或者观点是什么?其实就是把软件安全贯穿到软件研发或者软件生命周期之中去,大多数人可能认为传统安全就是当一个产品即将出现时,对其进行渗透测试、安全测试、功能性测试,而不将软件安全或者安全的概念提前到软件研发阶段。当我在设计软件时,我需要考虑安全的架构,验证的内容,人身的安全;当我进行源代码编写或者进入软件测试阶段,需要在每一个丝丝入扣的环节把安全和可靠性的概念覆盖出来,这就是BSIMM的概念。当然我们也跟非常多的研发团队和组织有着密切合作,BSIMM提供了一个评分的标准,判定软件团队当前的安全和可靠性的情况。相较于其他人而言,它可以时时甚至是不间断地做验证、做校验、做整体改善工作,BSIMM是一套非常完整的方法论,而且我们也有不同的工具和不同的方案覆盖到该方法论上,以及对其指标的实现。

   

6. 您刚才提到, BSIMM在刚开始的时候就需要被考虑到,那么在软件开发过程中有哪些安全防护?和客户合作的时间节点是从开始就进行介入吗?

韩葆:其实这取决于组织或者企业自身的需求,有些企业可能选择在前期阶段,甚至项目没有立项的时候,便开始安全咨询和安全风险管控的工作;而另外一些团队可能选择在研发阶段发现问题时;也存在一些企业选择在产品上线时期进行渗透测试。不同的阶段有着不同的手段和方法。而面向整个软件生命周期来说,首先在进行需求调研时,便需要考虑安全概念;而到了架构设计阶段,在软件设计内容时就要考虑安全的架构和安全的思想;之后进行编码,代码编写特别容易导致Bug和安全漏洞,因此要正确选择使用的方法和工具,比如说静态的代码分析工具,Coverity,比如说网络协议的Fuzzing工具,Defensics,它也是心脏出血漏洞(HeartBleed)的发现者,是非常知名的安全漏洞,同时,第三方组件和开源代码可以采用ProteCode检测。那么使用的第三方组件和开源代码是否有法律的问题、安全的问题、版权的问题,这样的一套方法论可能需要后期进行测试时,手工或者自动化地给它做渗透测试。另一种情况,我的网站即将上线了,事故可能发生在上线时候,或者上线之后,总之有可能发生导致脚本攻击、SQL注入、目录遍历等状况,甚至导致服务器被人攻破,被直接恶意攻击。再举个例子, 手机应用APK,大家可能都有所不知,手机上也可以进行SQL注入,而且手机信息的泄露极其危险,因为权限没有做好管控有可能导致通讯录被泄露出去,这个阶段可能是测试的阶段,甚至也可能已经达到后期阶段,我们已经测试完毕准备发布,在发布之后,我需要时刻进行安全防护。因此大家不难发现整个的生命周期都需要覆盖安全概念,这便是BSIMM的完整流程,或者说BSIMM的方法论。当大家看BSIMM报告时,可能会发现230多个指标,有研发阶段、有设计阶段、有测试阶段,还有上线阶段,覆盖的面是非常广的。

   

7. 正如你刚才所说的,安全是极为重要的内容,并一直在各个行业推广,那么大家将安全作为最后考虑的事情,您怎么看待这个问题呢?

韩葆:这其实也是我一直在做的事情。我从2011年在SUN公司工作,离职后进入软件质量与安全保障领域,已经和几百个企业与研发团队进行过交流,并且发现大家都觉得安全是需要放在最后考虑的,很少有人选择放在前面。我时常说的是,当你的软件步入设计阶段或者研发阶段,就必须需要考虑安全问题,因为当你到达后期阶段,发现漏洞,这时才去修复就已经晚了,骨架已经崩溃、损失已经造成、服务器已经被人攻击、被攻破,在这种情况下,亡羊补牢,为时已晚。所以我们一直让大家在软件开发前期阶段就关注安全问题,好在大家都能够接受这样的概念,比如说我们现在正在接触并且已是我们实际的客户,腾讯、阿里巴巴、华为、中兴、联想、思科等;还有传统的硬件行业,比如说高通、华为,当然也包括其他一些芯片设计厂商,不过有些机密信息我们也无法透露。同时我们看向汽车行业,比如说比亚迪,上海汽车,他们也开始关注前期安全问题,正所谓未雨绸缪,如果你在前期的阶段,比如说设计阶段和研发阶段没有考虑安全,那么架构和体系是难以建立的,若体系建立失败,那么整个架构便会不牢固,在后期造成造成严重问题,比如信息安全和信息泄露的问题。我在来的路上看到有一个非常知名的视频网站,泄露了用户的用户名和密码信息,还有以前的乌云网,每天都会有非常多的安全漏洞爆发出来,这是真实存在的状况,因此我们的Synopsys一直想要去改变这个状态,全程地将安全稳健起来。

   

8. 那么针对不同的行业,你们的解决方案有哪些,在技术实现上又存在什么差异?

韩葆:每个行业都是不一样的,但又可被认为是殊途同归。举个例子,典型的软件解决方案,无论是甲方还是乙方,它们都需要有安全的防护和安全的保障体系。当我去采购软件时,没有人可以证实该外采软件的真正安全性,而你要做的正是去确保你所试用的二进制文件、EXE文件和APK文件的安全性,查看它里面是否包含已知安全的漏洞,但他们都不知道需要在这个阶段去做安全的防护。第三方组件的检测是ProteCode的内容,对于方法论来说,它其实就是基于海量的信息去匹配出已知的安全漏洞,比如说我自有的研发团队有很多的研发人员,但水平良莠不齐,有高有低,有人不小心将安全漏洞写进去,但他却不知道,那你该怎么做?这是静态代码分析,以及安全渗透测试技术覆盖的内容,那么静态代码分析好处是什么呢?它能够在编码的阶段找到超多质量性和安全性的问题,比如说Coverity,Coverity是来自于斯坦福大学的静态分析工具,该工具能够进行扫描,比如C、C++、Java、C#、Python、PHP、Objective C,包括移动端和服务器端,甚至前端的JavaScript,其安全性的漏洞、以及质量性风险和可靠性问题都可以直截了当地被体现出来,程序员可以快速地进行修改。关于硬件设备,比如摄像机、摄像头、安防、汽车等,这些硬件的设备很容易造成的问题是什么呢?第一,造成可靠性的问题,举个实例,比如我的路由器,其核心的路由节点如果停止了三分钟,那么可能造成上亿人民币的损失,这是十分危险的情况;第二,造成安全的漏洞,比如说之前爆发的心脏出血的漏洞,它影响整个互联网2/3的网站,所有的网站都不得不在那天打补丁,大家可能并不了解该漏洞,这是Defensic工具,也是我们网络协议Fuzzing的产品发现的,并且在很多的方案和手段上都需要使用的工具,但是要完成全程的信息安全保障问题,建立此类体系是件困难的事情,因为信息安全是水桶效应非常明显的行业,若我有哪一块方面做得不好,那么该水桶里面的水就一定是在最低那一块进行防护,也就是说当我们看到实际状况,我们的目标就是什么呢?我们要把所有的短板都提高,让整个信息安全的架构变得非常的稳健,这是Synopsys SIG这一道产品线一直在进行覆盖的,这也是我们的目标。

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT