首页 > 企业资讯 >新闻内容

信创产业已成现象级新风口 代码“源头”安全该如何守护?

来源:新华财经 2020年04月24日 10:10

2019年,一个全新的市场——信创产业开始进入了大家的视野;进入2020年,在复工复产、“新基建”全面启动的背景下,各地信创项目开始大面积铺开,信创产业也随之出现了一个现象级的风口。与此同时,和信创产业相关的生态体系,包括开源软件、业务应用、安全防护等,也成为业界关注的焦点。

信创产业“大厦”离不开开源软件的“砖头瓦块”

信创产业,即信息技术应用创新产业。在过去,中国IT底层标准、架构、产品、生态大多数都由美国IT巨头来制定,由此存在诸多安全风险。因此,中国要逐步建立基于自己的IT底层架构和标准,形成自有开放生态。基于自有IT底层架构和标准建立起来的IT产业生态便是信创产业的主要内涵。

信创产业是“新基建”的重要内容

权威机构指出,2020年是信创产业全面推广的起点,未来三到五年,信创产业将迎来黄金发展期。我国国产基础软硬件从“不可用”发展为“可用”,并正在向“好用”演变。信创产业作为“新基建”的重要内容,将成为拉动经济发展的重要抓手之一,政府投入预计将会得到充分保证。

很多人对信创产业经常谈到的自主创新有一种误解,认为自主创新就意味着每行代码都要自己原创,这样才确保有自主产权,这一方面很不现实,第二也不符合开源开放、共享的精神。

拿浏览器来说,Chromium浏览器代码规模有2400万行,一个Windows操作系统大约5000万行左右,所以做一个浏览器等于小半个操作系统。而开发Windows操作系统的成本一般在百亿美元级别,甚至有人用修建胡夫金字塔,来比喻开发Windows的庞大工程量。

“可以说,现代软件大多数是被‘组装’出来的,不是被‘开发’出来的”,奇安信代码安全事业部总经理黄永刚表示。事实上,现代软件开发越来越像工业生产和制造,原材料就是开源软件,加上自己写的业务代码,最后“组装”出一个软件系统。

黄永刚看来,开源软件已经成为构建网络空间最基础的“砖头瓦块”,无处不在。“开源软件已经成为信创生态系统开发和建设的核心基础设施,开源软件安全问题应该上升到基础设施安全的高度来对待。”

从现有信创生态来看,从操作系统,到数据库、中间件,以及办公软件等,都依赖于开源生态。放眼全球,开源软件已经成为软件世界的重要组成部分。根据 Gartner 统计,99% 的组织在其 IT 系统中使用了开源软件。

每1000行代码有 14 个安全缺陷 开源软件安全不容忽视

今年 3 月,安全公司 WhiteSource 发布了一份《开源安全年度报告》。报告表明,2019 年,公开披露的开源安全漏洞数量再创新高,总数为 6100 个。与 2018 年相比,开源安全漏洞的数量增长近 50%。这份报告表明,开源软件的安全问题非常严重。

开源“心脏出血”漏洞曾席卷全球

2014 年,开源软件 OpenSSL Heartbleed(心脏出血)漏洞席卷全球,全球超过三分之二的网站“心脏出血”,大量私钥和其他加密信息处于暴露危险下。2017 年,美国征信巨头 Equifax 发生数据泄露,涉及近 1.45 亿用户。据悉,这起数据泄露事件的原因是黑客利用 Struts 开源软件的漏洞实施攻击。

以封闭、安全著称的苹果公司,也未能独善其身。2015年,由于iOS开发者使用了非官方渠道、带后门的Xcode编辑器,导致AppStore上海量应用感染了XcodeGhost病毒,难以估量的用户个人数据被传到黑客服务器,其中包括微信、高德、滴滴、花椒、58同城、百度音乐、网易云音乐、12306、同花顺、南方航空、工行融e联等主流APP,首批感染病毒APP数量近千,至少1亿用户受到影响。专家认为,工业化时代,一个后门有可能致国内的主流APP全部中招,其危害不言而喻。

无论是 OpenSSL“心脏出血”漏洞,还是 Equifax 数据泄露,都是因为开源软件出现安全问题。据悉,通过开源项目检测计划,奇安信代码安全团队发现开源软件的安全问题确实非常严重。相关数据分析和统计显示,开源软件的代码安全缺陷密度是 14.22/KLOC,高危安全缺陷密度为 0.72/KLOC。换句话说,每 1000 行开源软件代码中就有 14 个安全缺陷,每 1400 行开源软件代码中就有 1 个高危安全缺陷。

除了代码存在安全缺陷之外,开源软件之间由于存在关联依赖,加剧了开源软件的漏洞管理难度。“开源软件之间的依赖和调用关系非常复杂,其漏洞的放大作用非常显著,简言之,一个开源软件出现漏洞,会导致依赖它的其他开源软件受到影响,而且层层关联依赖,这就导致非常隐蔽和复杂的攻击面。”黄永刚谈到。

因此,对开源组件的梳理和漏洞分析,一定需要系统化的方法和自动化的工具,才能做到可管理、可持续,不留死角。

代码安全 为信创生态的每块“砖瓦”加固

千里之堤,毁于蚁穴,如果地基是沙土地,原材料隐患迭出,最终建成的大厦必然是“豆腐渣”工程。业内人士认为,随着信创系统开发过程中开源软件的使用越来越多,开源软件已经成为了软件开发的核心基础设施,开源软件的安全问题,应该上升到基础设施安全的高度来对待。

奇安信安全专家指出,代码是软件的原始形态,软件代码是构建信创系统的基础组件,软件代码中安全漏洞和未声明功能(后门)的存在是安全事件频繁发生的根源。忽视软件代码自身的安全性,仅仅依靠外围的防护、问题产生后的修补等方法,舍本逐末,必然事倍功半。因此,只有通过管理和技术手段保障了软件代码自身的安全性,再辅以各种安全防护手段,才是解决当前安全问题的根本解决之道。

据悉,奇安信代码卫士(简称:代码卫士)是一套静态应用程序安全测试系统,采用源代码静态分析技术,在不改变企业现有开发测试流程的前提下,与软件版本管理、持续集成、缺陷跟踪等系统进行集成,将源代码安全缺陷检测和源代码安全合规检测融入到企业开发测试流程中,帮助信创企业以最小代价建立代码安全保障体系并落地实施,构筑信息系统的“内建安全”。

同样,针对开源软件应用的现状及安全风险,奇安信发布了开源卫士产品。它是一款集开源软件识别和安全管控于一体的软件成分分析系统,通过云端分析中心在全球范围内获取开源软件信息和漏洞情报,利用自主研发的开源软件分析引擎为用户提供开源软件识别、开源软件漏洞分析及开源软件漏洞情报获取等功能,帮助行业用户掌握信息系统中的开源组件资产和漏洞情报,降低由开源软件带来的安全风险,保障交付更安全的软件。

奇安信为信创伙伴免费提供开源组件安全检测服务

为了给信创产业提供良好的开源环境,近日,奇安信决定为信创生态战略合作伙伴,免费提供开源组件安全检测服务,服务时间持续至5月30日。此举推出之后,很快在信创领域引发了非常好的反响。

新基建加快信创发展 代码安全需同步规划

今年3月,工信部发言人谢少锋对外表示,工信部将实施国家软件重大工程,集中力量解决关键软件的“卡脖子”问题,这意味着,围绕“新基建”的国产软件全面规模化应用进程将加快,信创产业迎来崭新的发展机遇,并给开源软件带来巨大的需求。而“奇安信代码安全”秉承自主可控的国产化基因,基于安全可信技术和全信创架构,支持主流信创的操作系统、固件、中间件、办公应用等,为客户提供软件源代码安全、开源组件安全、固件安全和服务四位一体的信创解决方案。

奇安信代码安全实验室具有业内领先的漏洞挖掘和研究能力,持续支撑国家级漏洞平台的技术工作,多次向国家信息安全漏洞库(CNNVD)和国家信息安全漏洞共享平台(CNVD)报送原创通用型漏洞信息;帮助微软、Cisco、Juniper、Adobe、苹果、VMware、阿里云、华为、施耐德等大型厂商的产品发现了100多个安全漏洞。不久前,奇安信代码安全实验室同时获得了两大软件巨头微软和Oracle的官方致谢和奖金,其中帮微软发现了五个“高危”漏洞,帮助Oracle发现1个“高危”漏洞,并第一时间协助其修复漏洞。

奇安信代码安全实验室获微软官方致谢

目前,代码安全系列产品全面覆盖信创产业多个核心场景,助力推动信创产业发展,满足“新基建”中安全的要求。奇安信建议,信创生态在发展之初,代码安全就需要同步规划进去,从根源处实现信创架构安全化、可信化,确保整个信创生态系统更加安全可靠。


相关推荐

社会经验不足,租房接连被骗,怎么办?

不知啥时候起,毕业后面临的第一个困难,不是找工作,而是租房子了。不管你是刚毕业的大学生还是职场老油条,说起租房子,几乎每一个人都能讲出一段“悲惨”的故事。大多数人想象中的租房子,不过是我给你钱,你给我房。可是想象很美好,现实却很残酷。等到自己真正的租了一次房子后,才明白,没踩过租房坑的人生,是不完整的。哪怕你是租房界的老司机,对租房的那点事门清儿,稍微不留神,也会掉进各种各样的坑,简直让人防不胜防。坑点一线上“照骗”,线下“车祸现场”今年刚刚毕业的大学生小李,找工作的同时,也在寻找一个落脚的地方。在各大租房软件里看到不少装修精致,价格又便宜的房子,这让小李同学产生了一个幻觉,租房子,哪有那么难?由于一直忙着找工作,小李一直没有去实地看过房,仅仅是和中介在线上交流,在交流的过程中,中介信誓旦旦的对小李承诺,保证真实房源,小李没有多想,便爽快的付了定金。然而当小李真正的见到了自己租的房子时,整个仿佛被雷击了般。中介给小李看的图片房源光线充足、阳光通透,家居完好无损,而面前的房子又破又小,昏暗潮湿,破损的桌面上还有上一位租客留下的垃圾,这和图片上的房源简直是天差地别,小李这下愣了,嚷嚷着要中介退押金,此时的中介说什么也不退,小李不得已吃了一个哑巴亏,煎熬的住了一个月后,赶紧搬走了。很多人都遇见过小李的这种情况,在此,租客网提醒大家,租房子要多房源对比,实时VR看房,不然你可能就是下一个小李。坑点二巧立名目,“陷阱”合同让你签刚毕业一年的阿宁就曾在租房上踩过一个大坑。去年毕业的她准备租房子,在某个租房app浏览房源的时候,看到一家写着“零中介费”、“押一付一”、“押零付一”、“分期付款”等字样的房源,这对兜里没多钱的阿宁来说,诱惑是很大的。不管三七二十一就签了合同,刚出来的大学生哪里知道那么多套路,后来才知道签的竟然是贷款合同。有些不靠谱的租赁企业在给租客签订“租房合同”时,很多条款写的十分模糊,仅仅就一条条款甚至就一句话带过贷款事项,明明是租房合同,却变成了贷款合同,对刚刚毕业的大学生来说,在毫不知情的情况下,很容易莫名“被贷款”,不管你租还是不租,贷款是以你名义贷的,你都得还。各位小伙伴租房时一定要擦亮眼睛,把合同仔仔细细的看清楚才签哦!坑点三克扣押金,搬家也要脱层皮小吴是一个资深深漂,来深圳已经有五年了,为了新工作方便,准备退了现在住的房子,想搬到新公司附近。可是租房容易,退房却很难。就在他找到房东说准备退房的时候,被房东告知要补交一年的停车费用,小吴摸不着头脑,自己都没有车,何来停车费一说?并且当初租房子的时候房东也并没有告知过他有这笔费用。退房的时候突然要交一笔不清不楚的钱,房东摆明了就是想坑自己一笔!更可气的是,房东以管道修理、换水龙头、厨房橱柜维修等理由,要求小吴额外交这些维修费用,当初租房时缴纳的3000元押金,也因为这些乱七八糟的修理费和停车费而被房东克扣。其实这些问题在小吴之前就已经存在了,如今却要为了不属于自己的责任买单,加上房东态度强硬,小吴又着急退房,最后只能赔上押金,白白损失了3000元。租房,看起来不过是一件简简单单的事,但是却处处充满了套路和欺骗。租到一个靠谱的房子,那是幸运,不幸踩到租房坑,影响心情事小,损失钱财事大。不如就认准一个靠谱的租房平台,——租客网海量真实房源视频发布,让你避免“照骗”~平台直接签定租房合同,合约透明,无套路,不掉进“合同陷阱”~我的维修,快速解决房屋硬件的维修问题,让你的押金原路返回~——租客网一个让你的租房时光只有美好,没有心塞的平台~

2020年10月14日 09:54

刚毕业,大学生租房有哪些途径?

随着毕业季的到来,大多数毕业生们都会背井离乡到外地工作,而租房就成为了毕业生们迈入社会首要面对的现实问题。关于租房子,对于初入社会的小白来说,租房可不是一件简单的事情,那么租房时有哪些途径呢?一、实地找房刚毕业的大学生由于刚步入社会,手头上基本都没有什么钱,都希望能租到价格实惠、条件不错的房子,其实物美价廉的东西是有的,但是往往需要花费一番功夫才能找到。如果你刚出来,手头上没什么钱,那我的建议是自己去实地找房。很多房东在出租房源时都会在自己的楼底下贴着出租信息,你可以选定一个区域一栋一栋去找去看去联系,不过这种方式会比较费腿。但是如果找到了,会省下不少钱。如果你没有时间找房,也不知道怎么去找,那就花点钱找中介吧。中介肯定是要赚钱的,因为他们手头上有很多房子,可以帮你找到你想要的,帮你省去找房时间。但是找中介,一定要找正规机构。二、亲朋介绍如果你去到的城市有亲朋好友,那么最好找在当地生活多年的亲朋好友给你介绍房源,这种途径比较靠谱,也比较安全。我当时刚到深圳租房就多亏了我姐姐带着我看房子,所以才能当天就找到并且入住。因为她在深圳工作生活了很多年,对这块地域是比较熟悉的,找起房来会比较快。当然,因为我当时刚来深圳没什么钱,也不想多拿家人的钱去租很贵的房,所以找的是农民房,虽然条件相对差一些,但是那个房子房租不贵,而且比较安全。三、平台发帖现在网上的租房平台有很多,我自己一直在用的是租客网,除了刚毕业来深圳那会是自己实地找房,之后找房我主要都是在这个平台上发帖找房。喜欢这个平台的原因是上面的房子几乎都是房东直租,很规范很干净,价格中等实惠,安全保障性高。刚毕业的大学生,在外漂泊确实不容易,但是这是每个人都要经历的一个时期。如果你们不知道怎么找房,可以去租客网了解下,无中介租房平台,里面都是真实房源,价格也比较亲民。希望大家都可以找到合适的房子。

2020年09月16日 10:12

租客网:不仅仅是租房平台那么简单

很多单身贵族都选择一个人住,虽然说自己住更自由,但是危险系数也会增加,尤其是女孩子,更要注意自身的安全问题。而在租客网租房,我们就不用再为自身的安全而担心,租客网为您解决租房存在乱象、假房源多租房现状。实行多条措施,在保障房源真实,用户素质,住房安全和租客利益等方面均有十分显著的效果。房源真实租客网为整改租赁市场“假房源”的乱象,率先提出平台不收取端口费,并对房源提出“要求”,在租客网平台上挂的房源必须具备房产证和土地证,对房源质量有保证的基础上求数量,有效的制止了“虚假房源”的现象,并给某些为赚取端口费,而放任虚假房源发布的平台做出了一个榜样。用户素质租客网平台拥有多年来在房产行业的实操经验,并且颠覆了传统模式以多媒体、跨平台的创新模式,创新推出“信用保障安全体系”,已经形成了一套完整健康的租赁体系。不论是中介,租客还是房东,必须通过平台的“信用安全体系”才可以进入平台使用,有效的规避了“黑心中介”,“不良租客”和“恶房东”等用户。住房安全租客网在安全性能上格外注重。“房子是租来的,但生命不是。”在租客网租房子,每个用户都会有安全提醒业务,如果连续三天没有签到,租客网中心就会主动联系用户留下的紧急联系人,问题严重的,租客网还会主动报警帮忙。而一键呼救功能也是更加方便快捷,租客网会在接到你的求助申请之后,一方面组织离目标定位最近的区域安全护卫队快速抵达现场,同时租客也可以选择联系你附近的租客网用户前往支援。除此之外,租客网还将加入向陌生人求助的功能,在租客安全保障方面更加完善。租客利益租客网,顾名思义是全心全意为租客服务的平台,租客网不收取租房中介费和押金,大大减轻了租客的负担;并且通过租客网平台租到房,平台还赠送免费的搬家和保洁;针对租客提出的看房到处去房耽误时间,浪费精力的问题,租客网更是推出线上实景看房服务,不用东奔西跑;除此之外,租客网还提供“七天内房屋与描述不符,可直接退换房”服务。所以对广大租客来说,租客网不仅是租房平台,更是贴心的朋友,来租客网,带你享受最安全,最舒适,最贴心的租房体验。

2020年04月23日 14:02