毕尔巴鄂对阵皇家社会:两支近邻球队将于西甲联赛 “巴斯克德比”中为捍卫荣耀而战贝壳第三季度营收226亿元 经调净利润17.8 亿元 同比下降17.46%AI营销,让科技巨头尝到了大模型商业化的甜头安恒信息范渊在乌镇峰会谈AI:以工具视之、以工具用之、以工具治理之诺基亚与微软再合作,为 Azure 数据中心供货延长五年天岳先进发布业界首款 300mm(12 英寸)N 型碳化硅衬底三星介绍内部安全团队 Project Infinity 攻防演练项目,高效修复 Galaxy 手机平板漏洞上海市将推进低空飞行服务管理能力建设,2027 年底前累计划设相应航线不少于 400 条岁末,海尔给您备好一套“小红花”为什么说Q10K Pro是今年最值得入手的电视?看完这几点就明白了!“小墨方·大不凡”!Brother“小墨方”系列彩喷一体机全新上市黄仁勋:AI智能需求强劲,“物理定律”限制英伟达芯片增长诺基亚与微软再合作,为Azure数据中心供货延长五年国家数据局:到2029年基本建成国家数据基础设施主体结构中国已发展成为全球最大的互联网市场,拥有全球最多的网民和移动互联网用户中国铁塔:计划按照10:1的比例合股美国FCC正式划定5.9GHz频段用于C-V2X技术在AI领域奋起直追!苹果要对Siri大革新 2026年正式发布日本机构公布量子专利榜单:本源量子、国盾量子位居全球第1中国联通:拟向华为、中兴展开5G网络设备竞争性谈判采购
  • 首页 > 数据存储频道 > 数据库频道 > 软件架构

    ISC 2020 安全开发与测试论坛:重塑安全开发链条,搭建综合测试新架构

    2020年08月19日 15:14:48   来源:中文科技资讯

      网络安全世界,红蓝攻守就像围棋的黑白棋子,在不断复杂化日益凶险的局势进程中博弈甚至搏杀。而开发与测试就像网络战役前夕的“模拟修罗场”,无时无刻不在考验着系统应用、软件开发、生产数据等网络运行之关键领域。

      正如,首次采用“万人在线”的云会议模式的第八届互联网安全大会(ISC 2020),就在8月13日-16日的技术日中,特别设置安全开发与测试论坛,论坛邀请杭州安恒信息技术股份有限公司高级副总裁袁明坤担任嘉宾主席,此外还邀请深圳开源互联网安全技术有限公司副总经理、英国拉夫堡大学网络安全博士王颉,华泰证券信息安全专家、注册信息隐私技术专家(IAPP-CIPT) 刘国隆,安全玻璃盒(杭州孝道科技有限公司)联合创始人、CTO徐锋,杭州安恒信息技术股份有限公司分子实验室负责人徐礼等多位领域资深专家、全球技术大咖齐聚“云端“,共谋网络安全开发、创新型测试之能力。

    图片1.jpg

      聚焦软件成分与软件生命开发周期

      筑牢安全开发防线

      伴随着国家有关网络安全保障和数据安全保护的进一步加强,新基建、信创工作地有序推进,开源技术的使用持续“升温”。然而,机遇与挑战并存,开源技术“热”背后,开源安全漏洞、开源许可证兼容、开源项目合规和开源知识产权侵权等问题也逐步显现。

      鉴于此,深圳开源互联网安全技术有限公司副总经理、英国拉夫堡大学网络安全博士王颉以软件成分分析的角度,“云端”探讨企业在软件开发过程中做好软件安全测试对开源组件管控和安全内控的重要价值。

      他表示,越来越多的企业选择开源技术已是大势所趋,无可避免。然而,不管是发现、管理、解决安全漏洞所产生的安全风险,还是许可授权,涉及法律法规的合规风险,或是开发运维工作量加大,人员技术要求较高所带来的技术风险,无不预示着——开源软件安全治理早已迫在眉睫

      作为近年全球最热的软件安全测试技术——软件成分分析,其有助于确保企业软件供应链仅包含安全的组件,从而支持安全的应用程序开发和组装,以确保整个软件安全测试的有效性。具体而言:

      ●首先,“软件成分分析”在软件开发生命周期中起到了持续监测、持续评估、持续缓解和持续维护的作用;

      ● 其次,开源软件安全治理工作左移。从软件开发阶段就建立开源软件使用的统一策略、建立安全准入机制,引入开源软件前先评估安全风险,外包开发的软件应在立项之初提出要求,并在验收时进行检查;

      ●最后,从前瞻角度看,开源软件安全治理作为软件安全开发的重要实践,或将成为最大安全风险。可见,软件成分分析治理至关重要。

      此外,“实践是检验真理的唯一标准”,在软件开发安全的认知和对软件成分安全分析的摸索,也需要结合行业主流的软件安全测试技术进行实践落地,已搭建行之有效的安全测试体系。

    1597819663684200.jpg

      深圳开源互联网安全技术有限公司副总经理、英国拉夫堡大学网络安全博士 王颉

      除了采取软件成分分析手段“把脉”安全开发与测试外,软件生命开发周期中每一阶段同样需要“植入”安全。鉴于此,华泰证券信息安全专家、注册信息隐私技术专家(IAPP-CIPT) 刘国隆以“DevSecOps安全测试工具链分析与实践”为议题,为安全开发与测试工作提出一些独到的思路见解。

      刘国隆表示,企业在软件开发的不同环节中使用各种安全测试工具提升软件安全质量,通过“工具链”保障软件安全,形成保护用户数据、守护公司信息资产的“安全链”。

      具体而言,以“纵深防御”的思路突破安全开发测试之难题,让安全贯穿整个软件开发生命周期。在设计、编码、构建、测试、发布、部署等软件开发生命周期各个阶段应加入相应的安全活动,并启动安全质量门禁。同时,开源组件漏洞极易被利用,而进行开源组件漏洞扫描并积极修复,在安全测试中可达到”四两拨千斤”的效果。

      最后,刘国隆建议,实施安全活动和设置安全质量门禁不可避免的会让产品的发布进程变慢。鉴于此,一方面,需要尽可能的精简和自动化安全活动,“恰到好处”的使用安全工具提升安全活动效率和质量;另一方面,需要转变观念和上下达成共识——“安全是产品的增值属性而非负担”。

    1597819698749624.jpg

      华泰证券信息安全专家、注册信息隐私技术专家(IAPP-CIPT)  刘国隆

      DevSecOps落地安全测试

      夯实安全基石

      随着新技术应用日趋成熟,DevOps快速兴起,紧随“安全左移”的趋势,DevSecOps(安全开发与运维)俨然成为数字孪生时代下应用安全的基础保障。

      当Sec“进入”DevOps形成DevSecOps,不只是技术与工具变更那么简单,更重要的是思维方式和内部流程的转变。

      鉴于此,安全玻璃盒(杭州孝道科技有限公司)联合创始人、CTO徐锋就针对“利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一”这一议题,进行了一段精彩纷呈的演讲。他提出,随着 DevSecOps 被广泛接纳,Interactive Application Security Testing (IAST) 可替换 SAST 和 DAST,成为DevSecOps实现自动化安全测试的最佳工具之一。

      由于IAST 漏洞详情中都会包括漏洞形成的应用内部数据流的详细传播过程,以及漏洞存在的代码位置,这都便于让安全人员更方便的确认漏洞的真实性,让开发人员更容易理解漏洞的形成原因,同时使得开发人员自主的去修复漏洞更加容易。

      此外,徐锋还强调,不论是DevSecOps还是IAST,技术与工具如何变更,思维方式和内部流程的转变才能真正达到安全预测之关键。

    1597819709381885.jpg

      安全玻璃盒 (杭州孝道科技有限公司)联合创始人、CTO 徐锋

      随着不断完善的法律和监管合规要求,建设信息系统的安全需求越来越突出,系统的开发者和运维者对系统的安全运行有了更强烈的渴望。为此,杭州安恒信息技术股份有限公司分子实验室负责人徐礼以“DevSecOps落地中的安全测试推动”为议题,分享分子实验室在安全开发流程中的最佳实践。

      徐礼表示,伴随着安全测试的演进,从最初的工具扫描,到工具无法覆盖的场景下的手动测试,到自动化平台检测,最后到模块化检测,每一阶段都可能会面临漏洞威胁之困扰。而无孔不入的漏洞攻击藏匿于远程代码执行、业务逻辑漏洞、配置错误、防御绕过等运行操作之中,倘若在设计之初、代码之源,就能洞悉漏洞之隐患,并在测试中完成验证利用,直至漏洞被缓解,即可达到安全建设方法论和最佳实践“珠联璧合”之效果。

      与此同时,在模拟漏洞整个攻击链条的过程中,站在蓝队防御测试的角度,徐礼提出七大测试方法,分别是:

      ●扫描刺探:测试防护监测对扫描行为的识别

      ●漏洞利用:测试防护监测对漏洞利用的识别

      ●社工投递:测试防护监测对社工投递样本的识别

      ●凭据盗窃:测试防护监测对终端或凭据盗窃的识别

      ●内网横向:测试凭据盗取后的HASH传递 (PtH)、票据传递 (PtT)攻击防御和监测,反mimikatz、PowerShell等工具利用测试等

      ●权限提升:测试防护监测对提权攻击的识别

      ●后门隧道:测试防护监测对后门和Webshell的识别

      可见,安全测试在实践运维中推动运转,安全与威胁技术能力均不断升维提升,需要各方协同联动才能把真正的安全防御体系完善搭建起来。

    1597819719758480.jpg

      杭州安恒信息技术股份有限公司分子实验室负责人 徐礼

      《孙子兵法》曾道:“故用兵之法,无恃其不来,恃吾有以待也;无恃其不攻,恃吾有所不可攻也。”只有依靠充分的准备、严阵以待,才能铸就最好的防守。

      正如网络世界中攻防对抗是永恒的主题,是检验安全体系防御应对未知威胁能力最为直接的手段。而安全开发与测试正是这条网络攻防之路的“起始点,搭建安全开发链条,重塑综合测试新架构必将成为安全发展的“初目标”

      回看本届ISC互联网安全大会,除了此次的“安全开发与测试论坛”外,还特别打造了多个重磅主题日,特设百余个安全峰会论坛,海量精华议题,围绕新基建、战略、信创、技术、产业等领域进行全方位、多角度展开“云端”论剑,永不闭幕的第八届互联网安全大会(ISC 2020)正在火热进行中,更多前瞻安全话题敬请关注!

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

    [No. S042]
    分享到微信

    即时

    新闻

    明火炊具市场:三季度健康属性贯穿全类目

    奥维云网(AVC)推总数据显示,2024年1-9月明火炊具线上零售额94.2亿元,同比增加3.1%,其中抖音渠道表现优异,同比有14%的涨幅,传统电商略有下滑,同比降低2.3%。

    企业IT

    重庆创新公积金应用,“区块链+政务服务”显成效

    “以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。

    3C消费

    华硕ProArt创艺27 Pro PA279CRV显示器,高能实力,创

    华硕ProArt创艺27 Pro PA279CRV显示器,凭借其优秀的性能配置和精准的色彩呈现能力,为您的创作工作带来实质性的帮助,双十一期间低至2799元,性价比很高,简直是创作者们的首选。

    研究

    中国信通院罗松:深度解读《工业互联网标识解析体系

    9月14日,2024全球工业互联网大会——工业互联网标识解析专题论坛在沈阳成功举办。