【51CTO.com原創(chuàng)稿件】近年來，隨著新業(yè)務(wù)、新技術(shù)的快速發(fā)展，軟件安全缺陷層出不窮。雖然一般情況下，開發(fā)者基本都會(huì)有單元測(cè)試、每日構(gòu)建、功能測(cè)試等環(huán)節(jié)來保證應(yīng)用的可用性。但在安全缺陷方面，缺乏安全意識(shí)、技能和工具，最終導(dǎo)致了安全缺陷的出現(xiàn)。其中，靜態(tài)分析安全測(cè)試（SAST）作為一種最有效的工具，能夠在開發(fā)階段，而不是開發(fā)完成之后，探測(cè)出源碼中的安全漏洞，從而大大降低修復(fù)安全問題的成本。

日前，新思科技（Synopsys）推出靜態(tài)分析工具的最新版本——Coverity 2018.01。Coverity作為一款靜態(tài)應(yīng)用安全測(cè)試工具，能夠通過分析代碼，查找出一些潛在的軟件質(zhì)量、安全缺陷以及合規(guī)方面的問題。如今，SAST已經(jīng)廣泛應(yīng)用于各行各業(yè)的開發(fā)測(cè)試工作場(chǎng)景中，確保代碼的質(zhì)量和安全，減少風(fēng)險(xiǎn)并降低整體項(xiàng)目成本。

作為全球第15大軟件公司，新思科技的主營(yíng)業(yè)務(wù)是EDA，即集成電路自動(dòng)設(shè)計(jì)的軟件。2014年，新思科技成立了Software Integrity Group（簡(jiǎn)稱SIG，軟件質(zhì)量與安全部門），專注做軟件質(zhì)量與安全的測(cè)試環(huán)節(jié)，目前已在全世界范圍內(nèi)有一千多名員工。

[[219893]]

新思科技軟件質(zhì)量與安全部門 高級(jí)安全架構(gòu)師 楊國(guó)梁

據(jù)新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁介紹，Coverity核心技術(shù)源自于斯坦福大學(xué)的一個(gè)研究項(xiàng)目，后期逐漸轉(zhuǎn)化為一個(gè)商業(yè)化公司，提供目前業(yè)界最佳的SAST工具。

在Gartner、Forrester、 IDC和VDC權(quán)威機(jī)構(gòu)的測(cè)評(píng)中，Synopsys的靜態(tài)分析工具被評(píng)定為領(lǐng)先的應(yīng)用安全測(cè)試解決方案。

三大升級(jí)，滿足開發(fā)者安全測(cè)試所需

Coverity 2018.01擴(kuò)展了對(duì)于新編程語(yǔ)言、編碼標(biāo)準(zhǔn)以及開發(fā)工具集成的支持，具體包括三大升級(jí)：

1、擴(kuò)展的編程語(yǔ)言覆蓋范圍，新增支持Scala和VB.NET編程語(yǔ)言

即使企業(yè)擴(kuò)展其軟件組合，采用新的語(yǔ)言、架構(gòu)及技術(shù)，比如移動(dòng)和微服務(wù)，Coverity也能幫助企業(yè)在應(yīng)用程序中主動(dòng)構(gòu)建安全性和質(zhì)量。每次發(fā)布新版本，新思科技都將持續(xù)擴(kuò)大Coverity對(duì)新的編程語(yǔ)言的支持，同時(shí)加強(qiáng)對(duì)現(xiàn)有語(yǔ)言的安全分析。

Coverity 2018.01增加了對(duì)兩種新語(yǔ)言的支持：通常用于基于微服務(wù)的應(yīng)用程序開發(fā)的Scala和VB.NET。這兩種語(yǔ)言能夠廣泛地應(yīng)用在應(yīng)用類的開發(fā)、Web應(yīng)用類的開發(fā)以及大數(shù)據(jù)的處理方面。目前，Coverity支持的語(yǔ)言種類已達(dá)17種。

最新發(fā)布的Coverity還為Swift、 PHP、 Python、 JavaScript、 Java、 C#和 Node.js編程語(yǔ)言提供增強(qiáng)的安全分析。通過這些新增功能，Coverity支持用于構(gòu)建嵌入式和企業(yè)級(jí)軟件的關(guān)鍵程序語(yǔ)言。

2、支持安全編碼標(biāo)準(zhǔn)，全面支持SEI CERT C編碼標(biāo)準(zhǔn)規(guī)則（2016 版）

最近，新思科技發(fā)布了首份CISO報(bào)告，總結(jié)分析了信息安全高管的工作模式以及公司變化對(duì)他們角色演變的影響。CISO（首席信息安全官）報(bào)告基于信息安全高管的工作模式不同分為四個(gè)截然不同的群體，并稱之為“部落”（Tribes）。報(bào)告重點(diǎn)討論了四個(gè)部落在執(zhí)行安全計(jì)劃方面的不同之處。其中有一些CISO是由合規(guī)性驅(qū)動(dòng)的，有一些是CISO是由安全本身驅(qū)動(dòng)的。

在合規(guī)方面，各行各業(yè)面臨的規(guī)范、要求也不一樣。例如，銀行業(yè)可能會(huì)面臨PCI-DSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）的要求，汽車行業(yè)會(huì)面臨MISRA規(guī)范等?；诖耍珻overity幫助企業(yè)遵循編碼標(biāo)準(zhǔn)，提升關(guān)鍵嵌入軟件的安全性及可靠性。

隨著最新版本的發(fā)布，Coverity 2018.01全面支持SEI CERT C (2016 版) —— 安全編碼的行業(yè)標(biāo)準(zhǔn)。除了CERT C， Coverity也支持MISRA編碼標(biāo)準(zhǔn)的所有版本，并通過了ISO 26262認(rèn)證。

3、與現(xiàn)代開發(fā)工具鏈的集成，增強(qiáng)Jenkins持續(xù)集成（CI）服務(wù)器插件，基于DevOps進(jìn)行自動(dòng)化測(cè)試

Coverity支持并集成許多常用的開發(fā)工具，以助力實(shí)現(xiàn)快速和自動(dòng)化的開發(fā)工作流程。Coverity 2018.01為最新的集成開發(fā)環(huán)境（IDEs）提供插件，包括Visual Studio、 Eclipse、 IntelliJ和Android Studio等等。

為了優(yōu)化安全測(cè)試，最新版本還借助Jenkins持續(xù)集成(CI)服務(wù)器，以支持開箱即用的集成。Coverity新的Jenkins插件進(jìn)一步完善了Jenkins Pipeline工作流框架，可以按項(xiàng)目檢索發(fā)現(xiàn)問題，并增強(qiáng)了數(shù)據(jù)過濾功能。

安全和質(zhì)量應(yīng)成為研發(fā)的首要因素

回顧2017年，“WannaCry”勒索病毒在全球范圍內(nèi)爆發(fā)，波及150多個(gè)國(guó)家和地區(qū)、10多萬(wàn)的組織和機(jī)構(gòu)以及30多萬(wàn)網(wǎng)民，損失總計(jì)高達(dá)500多億人民幣。該事件的發(fā)生，讓我們深思，更加意識(shí)到如何防患于未然成為很關(guān)鍵的問題。

楊國(guó)梁表示，究其根本無(wú)非是兩個(gè)問題：一個(gè)是軟件有bug，導(dǎo)致它后續(xù)有一些惡意代碼；二是設(shè)計(jì)上有缺陷，導(dǎo)致它能夠利用成為后續(xù)的安全事件。

因此，對(duì)于企業(yè)來說，應(yīng)把安全和質(zhì)量的把控向研發(fā)開始階段的前面推。據(jù)統(tǒng)計(jì)，代碼存在bug和設(shè)計(jì)缺陷導(dǎo)致的問題各占一半左右。所以，企業(yè)要從設(shè)計(jì)需求分析伊始，就要加入安全方面的考量。盡可能使用SAST等各類安全測(cè)試工具，來確保軟件的安全性。

目前，敏捷研發(fā)、CI/CD、DevOps、微服務(wù)等趨勢(shì)都是在快速上線的要求下產(chǎn)生的新模式。但對(duì)于軟件安全來說，由于時(shí)間和精力所限，必然會(huì)在便捷性和安全性之間產(chǎn)生一定程度上的矛盾。

楊國(guó)梁表示，在這些新型開發(fā)模式下，也要做好相應(yīng)的安全測(cè)試工作。例如，通過SDLC（軟件生命周期）的方法，每個(gè)開發(fā)人員寫出代碼之后，立刻檢查，構(gòu)建的時(shí)候再合并檢查分析，就可以把問題馬上修復(fù)。

通過Coverity就可以快速的滿足這種開發(fā)需求。開發(fā)人員可以利用Coverity的IDE插件，在eclipse上寫完代碼，本地實(shí)時(shí)檢查，實(shí)時(shí)修改。Check in代碼之后，再做一輪檢查。通過這種無(wú)縫集成的流程可以確保遷移到DevOps或者CI/CD環(huán)境下，最大程度的確保軟件的質(zhì)量和安全。

同時(shí)，對(duì)于不同規(guī)模的企業(yè)，他表示，無(wú)論大公司，還是小公司、創(chuàng)業(yè)公司都同樣重視安全。根據(jù)BSIMM（軟件安全成熟度模型）的評(píng)估結(jié)果，大公司從整個(gè)SDLC的不同階段，都會(huì)部署不同的工具，來保證軟件從設(shè)計(jì)到上線的整個(gè)階段都是安全的。因此，大公司才有可能在人力、物力、資源等方面，落實(shí)整個(gè)安全開發(fā)生命周期的模型。

而一些小型公司或者創(chuàng)業(yè)公司，雖然可能沒有CIO來建立一整套開發(fā)流程安全規(guī)范，但是也很注重安全。IT人員會(huì)根據(jù)對(duì)安全的重視程度，通過采購(gòu)SAST工具、第三方或是開源工具的方式，保證軟件在研發(fā)階段的安全。

完成軟硬一體化轉(zhuǎn)型，實(shí)現(xiàn)全面覆蓋

通過從硬件到軟件的拓展，新思科技實(shí)現(xiàn)了軟硬一體化的轉(zhuǎn)型，從而能夠?yàn)榭蛻籼峁└尤娴慕鉀Q方案。幫助客戶從設(shè)計(jì)到發(fā)布階段，采用多樣化的測(cè)試工具，通過“產(chǎn)品+咨詢服務(wù)”的組合，確保軟件在整個(gè)生命周期中的安全和質(zhì)量。

新思科技的硬件和軟件部門會(huì)有很多客戶的重疊，不少硬件客戶也開始需要一些軟件服務(wù)。例如，汽車行業(yè)的客戶，在芯片設(shè)計(jì)過程中，會(huì)涉及到一些軟件產(chǎn)品的覆蓋，在此過程中，硬件部門會(huì)協(xié)同軟件部門密切合作共同服務(wù)客戶。

目前，德爾福、衛(wèi)士通、通用汽車公司(GM)、Denso等都已經(jīng)成為新思科技軟件部門的客戶，涵蓋電信設(shè)備、互聯(lián)網(wǎng)、移動(dòng)端、物聯(lián)網(wǎng)嵌入式設(shè)備、金融、汽車等行業(yè)。

不同的行業(yè)會(huì)有不同的需求，新思科技也會(huì)不斷完善和更新產(chǎn)品功能。例如，互聯(lián)網(wǎng)行業(yè)對(duì)于新的語(yǔ)言跟進(jìn)速度會(huì)比較快，在Coverity 2018.01版本中也新增了Scala和VB.NET編程語(yǔ)言的支持。嵌入式行業(yè)對(duì)C、C++有更多的要求，新版中也已經(jīng)完全支持CERT C的安全編碼規(guī)范。

加快本土化發(fā)展，滿足中國(guó)市場(chǎng)需求

在產(chǎn)品本地化方面，Coverity兩個(gè)版本之前就已經(jīng)推出漢化版本，所有界面和文檔都已經(jīng)全部實(shí)現(xiàn)漢化，中國(guó)用戶已經(jīng)可以完全打消語(yǔ)言方面的顧慮。

本地服務(wù)方面，新思科技持續(xù)加大對(duì)中國(guó)區(qū)的投入。目前，售前、售后及研發(fā)都已在中國(guó)區(qū)落地，有充足的技術(shù)資源確保中國(guó)客戶使用SIG的產(chǎn)品。去年，新思科技也在中國(guó)發(fā)布了最新版本的軟件安全構(gòu)建成熟度模型——BSIMM8的漢化版。

中美兩國(guó)企業(yè)對(duì)于安全意識(shí)有何差異呢？楊國(guó)梁表示，美國(guó)一些公司已經(jīng)開始逐漸接受內(nèi)置安全（Build Security In）的概念，在研發(fā)階段就及早的引入SAST工具。

而目前國(guó)內(nèi)，更多的企業(yè)更樂于接受一些滲透測(cè)試、第三方代碼檢測(cè)等。但是，也有一些安全意識(shí)領(lǐng)先的中國(guó)企業(yè)在研發(fā)早期階段就引入了SAST工具。

我們可以看到，越來越多的安全廠商都在針對(duì)中國(guó)市場(chǎng)提供本地化的產(chǎn)品，這也得益于中國(guó)乃至亞太地區(qū)企業(yè)的安全意識(shí)越來越強(qiáng)。新思科技也正在緊跟步伐，推出滿足中國(guó)市場(chǎng)的產(chǎn)品。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】