小心虚假快递取件码 抖音提醒仿冒客服的诈骗手法又更新了微软发布 Win11 Beta 26120.3671 预览版:开放测试快速机器恢复功能英特尔发布 6732 驱动:《使命召唤:黑色行动 6》游戏平均帧率提升 15%因人流太少,雷蛇永久关闭旧金山市中心商店2025 清明节电影票房破亿,《哪吒之魔童闹海》仍位列前三又一条时速 350 公里高铁即将上线,沿江高铁武汉至宜昌段启动静态验收微软宣布对部分本地服务器部署的产品涨价 10%,7 月生效擎朗医疗物流机器人的“智慧眼”家电行业营收增长9.9%,以旧换新助力家电行业逆势回暖技嘉Z890钛雕主板以DDR5-12762MHz登顶内存超频之巅 重写性能天花板LightCounting:AI驱动未来5年DWDM模块销售增长日本先进光刻机保有量上升,ASML 计划将驻日维护团队规模扩大至 5 倍Rapidus 社长小池淳义:计划 7 月中下旬向客户提供首批芯片原型拼多多联席CEO谈干亿扶持:是未来能否开创新局面关键所在微软 Win10 / Win11 原生版 Copilot 应用上线:支持 OpenAI o3 AI 推理模型消息称荣耀已设立新产业孵化部,招聘具身智能机器人等方向人才AMD官方回应锐龙9000 CPU无法点亮:内存兼容性所致我国前两月智能手机产量1.62亿台,同比下降6.8%字节跳动在Hugging Face发布MegaTTS3:轻量化语音合成新突破Hugging Face 新增实用功能:一键查看电脑可运行模型
  • 首页 > 数据存储频道 > 数据库频道 > 软件架构

    ISC 2020 安全开发与测试论坛:重塑安全开发链条,搭建综合测试新架构

    2020年08月19日 15:14:48   来源:中文科技资讯

      网络安全世界,红蓝攻守就像围棋的黑白棋子,在不断复杂化日益凶险的局势进程中博弈甚至搏杀。而开发与测试就像网络战役前夕的“模拟修罗场”,无时无刻不在考验着系统应用、软件开发、生产数据等网络运行之关键领域。

      正如,首次采用“万人在线”的云会议模式的第八届互联网安全大会(ISC 2020),就在8月13日-16日的技术日中,特别设置安全开发与测试论坛,论坛邀请杭州安恒信息技术股份有限公司高级副总裁袁明坤担任嘉宾主席,此外还邀请深圳开源互联网安全技术有限公司副总经理、英国拉夫堡大学网络安全博士王颉,华泰证券信息安全专家、注册信息隐私技术专家(IAPP-CIPT) 刘国隆,安全玻璃盒(杭州孝道科技有限公司)联合创始人、CTO徐锋,杭州安恒信息技术股份有限公司分子实验室负责人徐礼等多位领域资深专家、全球技术大咖齐聚“云端“,共谋网络安全开发、创新型测试之能力。

    图片1.jpg

      聚焦软件成分与软件生命开发周期

      筑牢安全开发防线

      伴随着国家有关网络安全保障和数据安全保护的进一步加强,新基建、信创工作地有序推进,开源技术的使用持续“升温”。然而,机遇与挑战并存,开源技术“热”背后,开源安全漏洞、开源许可证兼容、开源项目合规和开源知识产权侵权等问题也逐步显现。

      鉴于此,深圳开源互联网安全技术有限公司副总经理、英国拉夫堡大学网络安全博士王颉以软件成分分析的角度,“云端”探讨企业在软件开发过程中做好软件安全测试对开源组件管控和安全内控的重要价值。

      他表示,越来越多的企业选择开源技术已是大势所趋,无可避免。然而,不管是发现、管理、解决安全漏洞所产生的安全风险,还是许可授权,涉及法律法规的合规风险,或是开发运维工作量加大,人员技术要求较高所带来的技术风险,无不预示着——开源软件安全治理早已迫在眉睫

      作为近年全球最热的软件安全测试技术——软件成分分析,其有助于确保企业软件供应链仅包含安全的组件,从而支持安全的应用程序开发和组装,以确保整个软件安全测试的有效性。具体而言:

      ●首先,“软件成分分析”在软件开发生命周期中起到了持续监测、持续评估、持续缓解和持续维护的作用;

      ● 其次,开源软件安全治理工作左移。从软件开发阶段就建立开源软件使用的统一策略、建立安全准入机制,引入开源软件前先评估安全风险,外包开发的软件应在立项之初提出要求,并在验收时进行检查;

      ●最后,从前瞻角度看,开源软件安全治理作为软件安全开发的重要实践,或将成为最大安全风险。可见,软件成分分析治理至关重要。

      此外,“实践是检验真理的唯一标准”,在软件开发安全的认知和对软件成分安全分析的摸索,也需要结合行业主流的软件安全测试技术进行实践落地,已搭建行之有效的安全测试体系。

    1597819663684200.jpg

      深圳开源互联网安全技术有限公司副总经理、英国拉夫堡大学网络安全博士 王颉

      除了采取软件成分分析手段“把脉”安全开发与测试外,软件生命开发周期中每一阶段同样需要“植入”安全。鉴于此,华泰证券信息安全专家、注册信息隐私技术专家(IAPP-CIPT) 刘国隆以“DevSecOps安全测试工具链分析与实践”为议题,为安全开发与测试工作提出一些独到的思路见解。

      刘国隆表示,企业在软件开发的不同环节中使用各种安全测试工具提升软件安全质量,通过“工具链”保障软件安全,形成保护用户数据、守护公司信息资产的“安全链”。

      具体而言,以“纵深防御”的思路突破安全开发测试之难题,让安全贯穿整个软件开发生命周期。在设计、编码、构建、测试、发布、部署等软件开发生命周期各个阶段应加入相应的安全活动,并启动安全质量门禁。同时,开源组件漏洞极易被利用,而进行开源组件漏洞扫描并积极修复,在安全测试中可达到”四两拨千斤”的效果。

      最后,刘国隆建议,实施安全活动和设置安全质量门禁不可避免的会让产品的发布进程变慢。鉴于此,一方面,需要尽可能的精简和自动化安全活动,“恰到好处”的使用安全工具提升安全活动效率和质量;另一方面,需要转变观念和上下达成共识——“安全是产品的增值属性而非负担”。

    1597819698749624.jpg

      华泰证券信息安全专家、注册信息隐私技术专家(IAPP-CIPT)  刘国隆

      DevSecOps落地安全测试

      夯实安全基石

      随着新技术应用日趋成熟,DevOps快速兴起,紧随“安全左移”的趋势,DevSecOps(安全开发与运维)俨然成为数字孪生时代下应用安全的基础保障。

      当Sec“进入”DevOps形成DevSecOps,不只是技术与工具变更那么简单,更重要的是思维方式和内部流程的转变。

      鉴于此,安全玻璃盒(杭州孝道科技有限公司)联合创始人、CTO徐锋就针对“利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一”这一议题,进行了一段精彩纷呈的演讲。他提出,随着 DevSecOps 被广泛接纳,Interactive Application Security Testing (IAST) 可替换 SAST 和 DAST,成为DevSecOps实现自动化安全测试的最佳工具之一。

      由于IAST 漏洞详情中都会包括漏洞形成的应用内部数据流的详细传播过程,以及漏洞存在的代码位置,这都便于让安全人员更方便的确认漏洞的真实性,让开发人员更容易理解漏洞的形成原因,同时使得开发人员自主的去修复漏洞更加容易。

      此外,徐锋还强调,不论是DevSecOps还是IAST,技术与工具如何变更,思维方式和内部流程的转变才能真正达到安全预测之关键。

    1597819709381885.jpg

      安全玻璃盒 (杭州孝道科技有限公司)联合创始人、CTO 徐锋

      随着不断完善的法律和监管合规要求,建设信息系统的安全需求越来越突出,系统的开发者和运维者对系统的安全运行有了更强烈的渴望。为此,杭州安恒信息技术股份有限公司分子实验室负责人徐礼以“DevSecOps落地中的安全测试推动”为议题,分享分子实验室在安全开发流程中的最佳实践。

      徐礼表示,伴随着安全测试的演进,从最初的工具扫描,到工具无法覆盖的场景下的手动测试,到自动化平台检测,最后到模块化检测,每一阶段都可能会面临漏洞威胁之困扰。而无孔不入的漏洞攻击藏匿于远程代码执行、业务逻辑漏洞、配置错误、防御绕过等运行操作之中,倘若在设计之初、代码之源,就能洞悉漏洞之隐患,并在测试中完成验证利用,直至漏洞被缓解,即可达到安全建设方法论和最佳实践“珠联璧合”之效果。

      与此同时,在模拟漏洞整个攻击链条的过程中,站在蓝队防御测试的角度,徐礼提出七大测试方法,分别是:

      ●扫描刺探:测试防护监测对扫描行为的识别

      ●漏洞利用:测试防护监测对漏洞利用的识别

      ●社工投递:测试防护监测对社工投递样本的识别

      ●凭据盗窃:测试防护监测对终端或凭据盗窃的识别

      ●内网横向:测试凭据盗取后的HASH传递 (PtH)、票据传递 (PtT)攻击防御和监测,反mimikatz、PowerShell等工具利用测试等

      ●权限提升:测试防护监测对提权攻击的识别

      ●后门隧道:测试防护监测对后门和Webshell的识别

      可见,安全测试在实践运维中推动运转,安全与威胁技术能力均不断升维提升,需要各方协同联动才能把真正的安全防御体系完善搭建起来。

    1597819719758480.jpg

      杭州安恒信息技术股份有限公司分子实验室负责人 徐礼

      《孙子兵法》曾道:“故用兵之法,无恃其不来,恃吾有以待也;无恃其不攻,恃吾有所不可攻也。”只有依靠充分的准备、严阵以待,才能铸就最好的防守。

      正如网络世界中攻防对抗是永恒的主题,是检验安全体系防御应对未知威胁能力最为直接的手段。而安全开发与测试正是这条网络攻防之路的“起始点,搭建安全开发链条,重塑综合测试新架构必将成为安全发展的“初目标”

      回看本届ISC互联网安全大会,除了此次的“安全开发与测试论坛”外,还特别打造了多个重磅主题日,特设百余个安全峰会论坛,海量精华议题,围绕新基建、战略、信创、技术、产业等领域进行全方位、多角度展开“云端”论剑,永不闭幕的第八届互联网安全大会(ISC 2020)正在火热进行中,更多前瞻安全话题敬请关注!

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

    [No. S042]
    分享到微信

    即时

    2025医药数智营销创新峰会圆满落幕!

    由上海医药商业行业协会、上海士研咨询主办,合规专业人士协会(ACCP)支持,微博健康、新浪医药战略合作举办的2025医药数智营销创新峰会于2025年3月27日-28日,在上海盛大召开并圆满结束。

    新闻

    明火炊具市场:三季度健康属性贯穿全类目

    奥维云网(AVC)推总数据显示,2024年1-9月明火炊具线上零售额94.2亿元,同比增加3.1%,其中抖音渠道表现优异,同比有14%的涨幅,传统电商略有下滑,同比降低2.3%。

    企业IT

    重庆创新公积金应用,“区块链+政务服务”显成效

    “以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。

    3C消费

    华硕ProArt创艺27 Pro PA279CRV显示器,高能实力,创

    华硕ProArt创艺27 Pro PA279CRV显示器,凭借其优秀的性能配置和精准的色彩呈现能力,为您的创作工作带来实质性的帮助,双十一期间低至2799元,性价比很高,简直是创作者们的首选。