在去年发布的“十四五规划”中,“数据安全”被列入国家发展和规划的重点之一。而下半年《数据安全法》和《个人信息保护法》两部法律的相继实施,更是为软件安全领域带来了一股东风。
究竟什么是软件安全?目前,这一领域的技术达到了怎样的进展?
新年伊始,在张江天之骄子B栋,30多位科技企业创始人和科技行业从业者齐聚第320期的iTalk沙龙。在软件定义一切的时代,软件安全成为了所有行业都必须面对的问题。本次iTalk沙龙邀请到上海安般信息科技有限公司的创始人CEO汪毅先生,为大家带来一场主题为《在软件定义一切的时代,我们如何定义安全》的精彩分享。
本期iTalk沙龙是由张江高科895创新基地和浦东新区移动通信协会联合主办的具备非营利属性的科技文化沙龙。自2008年发起至今,今年已是iTalk沙龙的第14个年头。iTalk沙龙旨在“影响有影响的人”,前来参与讲座的既有行业大咖,也有在金融、计算机、医疗、区块链等前沿科技行业工作的人才。
上海安般信息科技有限公司成立于2018年,是国内从事商业化智能模糊测试技术的公司,目前主要客户为政府军工、信创软件、工业控制、智能汽车等领域的企业。汪毅的分享,从软件安全的背景、传统软件安全的范式转移和模糊测试三个角度展开。
汪毅,上海安般信息科技有限公司CEO,硕士毕业于中国科学院微系统所&上海科技大学。多年连续创业者,参与和主导创建了多家估值上亿的公司。创业领域涉足软件安全、区块链、金融、SaaS等多个领域。作为负责人或项目骨干多次承担科技部的国家重点研发计划等国家级项目,并获得过上海市青年创业英才等 会荣誉。
当前,软件的应用场景正日趋拓展,在芯片、工业、制造、通信、汽车等领域都得到应用。然而,随着软件代码的复杂度越来越高,软件内部存在的潜在风险也越来越大,安全问题随之凸显。随着软件规模的增加,软件缺陷的密度将呈现几何级的增长。
传统的信息安全,以入侵行为特征为中心,对边界有极高的重视,却难以聚焦安全目标本身;更多关注已知漏洞,对未知世界里的安全风险则束手无策;更多关注黑客攻击(Security),却不太关注自身的安全(Safety)本身。
那么,有没有一种办法,可以构建一套强大的安全体系,使软件无惧于未知风险呢?
由此,软件安全领域的预防范式发生转移。新的软件安全系统强调在开发侧就做好底层安全防护,且不再执着于构建泾渭分明的边界安全体系,而是建立的完善的软件安全机制以抵御各种可能的未知风险。我们可以构建基于模糊测试为核心的并依据自身经验来持续迭代进化的软件安全开发流程,软件内部的安全性也由此变得越发强大。
布局软件安全的前瞻性政策意义
首先,当前的国内市场,缺乏国产自主的安全软件,大部分内容都被国外软件垄断,因此,在软件“卡脖子”的前提下,我国亟待新的自主软件出世。主讲人汪毅表示:
我们要对抗国外的安全测试技术对中国的垄断。在测试技术这方面,我国的研究的确太少了。在我国,真正能做软件安全测试技术的公司,一只手就数得过来,而国外则有密密麻麻的做安全测试技术的公司。尤其是自2020年开始的技术垄断,使我国在一些对软件安全的需求尤其之高的行业例如军工、无人驾驶等关键行业上被卡脖子。我们立志于打造软件时代的‘中国创造’,我们想通过未来10年或是20年,我们通过安全测试技术,来定义软件时代的‘中国创造’
其次,法律法规的监管变得规范化和严格化,也为软件安全市场的发展提供了政策支持。4月颁布的《关键信息基础设施安全保护条例》、7月颁布的《 络安全审查办法(修订草案征求意见稿)》、11月颁布的《 络数据安全管理条例(征求意见稿)》,都为软件安全行业提供了法律依据。
再次,随着数据被越来越广泛的使用和企业数字化转型,软件安全也将是未来的大势所趋。安全将会变成珍贵的资产,需要由软件安全企业与客户共同打造。
Q: 讲到安全,平时我们更多提到的是流程中的“验证”。那如何理解软件安全流程中的“培训”环节?
A: 培训环节指的是通过流程和机制去解决一些标准和认知上的问题,有一些公司是专门解决这类问题。但我们做工具的公司来说,首先会认为人是不完全可靠的,真正的软件安全还是要靠工具链去实现。不过当然我们后续也会和做服务的公司合作,他们做流程,我们做工具。
Q: 模糊测试的用途,更多的是在业务方面吗?
A: 也不是,在标准的微软SSDLC中,模糊测试只在验证环节出现了,但其实在我们的DevQualOps中很多环节都可以植入模糊测试,无论是开发、测试、验收等各个环节都可以用模糊测试。比如开发一个单元就测一个单元,测试效果甚至比验证环节更好。
Q:您可以详细解释一下您刚刚提及的软件供应链的概念吗?
A: 软件供应链其实是在几个环节把控:1)开发的时候要使用开源库,就需要识别开源库是否可靠;2)在上线的时候,需要再次确认开源库是否有最新的问题没有修复;3)在验收环节,乙方向甲方交付时,也需要识别引入的开源软件中有没有已知缺陷。
Q: 如何提前布局市场并预测未来的市场先机?
A: 竞争优势方面来看,目前做软件安全的公司数量有限。且大多数企业集中于静态分析(如SAST),但我们认为静态分析无法解决全部问题。模糊测试解决的更多是偏向一些运行时的致命性问题。当前在国内市场上,几乎还没有单纯以模糊测试为主打的产品。模糊测试在国外的研究出现于2015年,且国外已经有做模糊测试商业化非常成功的公司,但国内模糊测试相关的产业化研究还不多,我们算是最早进行模糊测试产业化落地的公司。
Q: 随着你们的软件系统越来越成熟,路径越来越完善,会不会出现这样一种情况,即别人专门找你们的“不安全”之处来进行攻击?
A: “机器学习”中有一个“对抗攻击”。比如自动驾驶,如果有人破解了机器学习模型之后可以在斑马线上画一条横线,智能汽车确实有可能无法识别就直接冲过去了,所以确实存在机器学习模型被攻击的可能。但另一方面,因为我们关注更多的是过错,是面向厂商而不是攻击者的。如果客户买一个产品,是不会在里面故意藏一个隐蔽的缺陷去攻击我们的模型的。
精彩瞬间
结语
事实上,这也正是模糊学习的有趣之处。基于经验去探索而非先验的策略,使软件安全系统越发茁壮。也许我们不可能穷尽所有问题,但“挑选‘有价值的问题’”这件事本身,就包含着不同策略选择的智慧。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!