作者 | 梁宇寧、Gavin Bu
責(zé)編 | 唐小引
頭圖 | CSDN 下載自東方 IC
出品 | CSDN(ID:CSDNnews)
看到這篇文章的時候,作為 CTO 尤其是在中國的你,是否正在為不能夠及時復(fù)工短兵缺將而發(fā)愁?又或許你正在努力地管理在家辦公的團隊來保證業(yè)務(wù)系統(tǒng)及時上線?
確實,這次在武漢爆發(fā)的新型冠狀病毒(COVID-19)感染的肺炎疫情對社會和經(jīng)濟發(fā)展造成的阻礙,遠遠超過我們的預(yù)期。這次突發(fā)的公共衛(wèi)生事件就好比一次由于軟件漏洞而造成的軟件安全事件,而我們該從中汲取怎樣的經(jīng)驗和教訓(xùn)呢?
1.是內(nèi)憂還是外患?
每一天,軟件研發(fā)人員特別是產(chǎn)品經(jīng)理、QA、CTO 們都在高度關(guān)注產(chǎn)品上線情況,為了增加線上日活量嘔心瀝血、絞盡腦汁,為了滿足業(yè)務(wù)的需求和交付期限,他們常常會忽視系統(tǒng)里仍然存在的隱患——那些 Blocker Bug 靜靜地躺在那里無人問津。
質(zhì)量檢查團隊為了追趕測試計劃,通常會導(dǎo)致缺乏對程序的全面分析。一些欲言又止的 QA 只能望著上線倒計時牌無可奈何。軟件成功上線皆大歡喜,直到軟件漏洞被黑客惡意利用。
通過安全編碼方法或使用正確的源代碼分析工具能盡早發(fā)現(xiàn)漏洞。扁鵲有句名言:君有疾在腠理,不治將恐深。換句話說,最好的醫(yī)師是防止患者生病,而不是在患者病情加重時去試圖挽救他們。疾病如此,更何況軟件合規(guī)性和安全性,這就是為什么在 SDLC 中“左移”測試正被廣泛采用。一個重要的教訓(xùn)是“不要把安全留到最后”。
導(dǎo)致軟件安全事件的原因到底是什么?
毛主席在他的著作《矛盾論》中提到“事物發(fā)展的根本原因,不是在事物的外部而是在事物的內(nèi)部,在于事物內(nèi)部的矛盾性。外因是變化的條件,內(nèi)因是變化的根據(jù),外因通過內(nèi)因而起作用。”
企業(yè)組織首先采取的(有時是唯一的)行動是保護自己免遭受來自外部的攻擊。很多企業(yè)一貫注重殺毒軟件、防火墻、加固等防范外部侵入的可能,但卻往往忽視企業(yè)研發(fā)人員本身的整體素質(zhì)培養(yǎng)和代碼質(zhì)量的管理。企業(yè)的防火墻可以被攻破,但如果代碼是安全的,則攻擊者可能沒有機會利用其入侵。
不安全的應(yīng)用程序可能導(dǎo)致數(shù)據(jù)泄露,丟失服務(wù),拒絕服務(wù),系統(tǒng)損壞,所有這些都可以使企業(yè)損失數(shù)百萬美元。這里的教訓(xùn)就是確保設(shè)計安全作為標(biāo)準(zhǔn)的工作方式。
2.公司有高準(zhǔn)確率的“核酸檢測試劑”嗎?
新聞報道稱新冠肺炎的核酸檢測準(zhǔn)確率并不是 100%,這說明檢測的結(jié)果可能是混雜著假陽性和假陰性的患者。假陽性是錯誤的檢測到某個特定條件下的結(jié)果。假陰性說明病毒未被檢測到,但病人實際已感染。對于假陽性的患者來說,醫(yī)師們不得不花費更多的時間和使用不同醫(yī)學(xué)檢測手段來逐一排除每個假陽性患者。這無疑是在浪費資源和時間。
另一方面,一旦患者沒有被限制行動范圍,“假陰性”將導(dǎo)致病毒繼續(xù)傳播的嚴(yán)重后果。
反觀軟件應(yīng)用程序安全測試(SAST)的過程中,發(fā)人員需要能夠以較少的假陽性和假陰性來提供高度準(zhǔn)確的缺陷識別工具。靜態(tài)代碼分析用于通過安全編碼標(biāo)準(zhǔn)(例如 CERT)在 SDLC 的早期識別缺陷,該標(biāo)準(zhǔn)使用來自全世界的方法來幫助避免編寫不安全的代碼。
所有 CTO 和開發(fā)人員都應(yīng)該問自己一個問題:我們是否有最合適的“核酸檢測試劑”來定位系統(tǒng)中的漏洞?這里的教訓(xùn)是你需要一個好的靜態(tài)代碼分析工具來完成這項工作。
3.如何避免遭遇公司級的“COVID-19”?
1. 拋棄僥幸心理,堅持質(zhì)量第一的心態(tài)。
不能急功近利去看待對于質(zhì)量管理體系提升的投入產(chǎn)出比,也不是說有了某套系統(tǒng)就希望每年來一次“疫情”讓它發(fā)揮偉大作用。而是要長遠看到這個體系的投資效益。
2. 建議加大對于安全質(zhì)量管理體系的投入。
提高開發(fā)人員的安全編碼態(tài)度和技能,以便他們在編寫代碼的同時檢查漏洞。雖然存在早期投入,但這是公司整體運營質(zhì)量的提高,是公司應(yīng)對風(fēng)險能力的提升。設(shè)計安全性應(yīng)該成為研發(fā)人員的第二天性。
3. 嚴(yán)格控制質(zhì)量,并使用靜態(tài)代碼分析工具。
這些工具可以盡早發(fā)現(xiàn)軟件中的缺陷和潛在風(fēng)險,具有很高的準(zhǔn)確性。
作者簡介:梁宇寧,現(xiàn)任上海鑒釋科技公司 CEO,主要精力投入到計算機科學(xué)的核心基礎(chǔ)技術(shù)中,以幫助工程師提高編程知識,并優(yōu)化全球軟件的質(zhì)量和安全。
Gavin Bu,現(xiàn)任上海鑒釋科技公司商務(wù)總經(jīng)理,主要負責(zé)客戶整體解決方案和打造以客戶為中心的服務(wù)體系,目標(biāo)是為客戶更高質(zhì)、更卓越的業(yè)務(wù)運轉(zhuǎn)而創(chuàng)新。在鑒釋,我們使用編譯器深度分析技術(shù),來檢測代碼的合規(guī)性和漏洞。我們的解決方案可以無縫集成到應(yīng)用于軟件開發(fā)過程,以幫助開發(fā)人員更早,更準(zhǔn)確地發(fā)現(xiàn)缺陷。
