近年來，網(wǎng)絡安全事件頻發(fā)，企業(yè)及用戶紛紛投注更多的心力去維護自身的網(wǎng)絡安全。相對于各種防范措施，防范于未然，扼殺安全隱患才是最有效的辦法，而新思科技(Synopsys)的產(chǎn)品正是基于這樣的理念作為自身強化網(wǎng)絡安全及提升軟件質(zhì)量的關鍵……
　　在過去沒有多久的第二屆世界互聯(lián)網(wǎng)大會上，習近平主席提到，安全和發(fā)展是一體之兩翼、驅(qū)動之雙輪。安全是發(fā)展的保障，發(fā)展是安全的目的，兩者之間相輔相成，共同促進各行各業(yè)的繁榮與進步。
　　在互聯(lián)網(wǎng)技術高速發(fā)展的今天，因網(wǎng)絡的開放性、隱蔽性、跨地域性等特性，許多安全問題亟待解決，比如在過去的2015年，全球便發(fā)生了多起網(wǎng)絡安全事件，如美國人事管理局OPM數(shù)據(jù)泄露，規(guī)模達2570萬，直接導致主管引咎辭職;英寬帶運營商TalkTalk被反復攻擊，400余萬用戶隱私數(shù)據(jù)終泄露;摩根士丹利35萬客戶信息涉嫌被員工盜取;日本養(yǎng)老金系統(tǒng)遭網(wǎng)絡攻擊，上百萬份個人信息泄露等。

雖然這些數(shù)據(jù)我們時常耳聞，但安防行業(yè)人士仍然會認為網(wǎng)絡安全問題距離我們?nèi)院苓b遠甚至無關，但“安全門”事件的爆發(fā)讓業(yè)內(nèi)人士繃緊了神經(jīng)，一個不爭的事實擺在眼前：互聯(lián)網(wǎng)技術在融入我們生活、工作、學習的方方面面的同時，網(wǎng)絡安全問題已經(jīng)是無可避免的問題。以安全防范為核心的安防行業(yè)，網(wǎng)絡安全問題的重要性已經(jīng)被提升到一個前所未有的新高度。
　　在此背景下，不僅讓安防企業(yè)在編解碼、傳輸、軟件管理平臺、存儲中下足功夫，甚至也吸引了其他行業(yè)的技術型企業(yè)的進入，新思科技(Synopsys)便是其中之一。作為電子設計自動化(EDA)和半導體知識產(chǎn)權(IP)領域的領導者，早在2014年便建立了一個專注軟件質(zhì)量和軟件安全的新部門。“通過收購靜態(tài)分析技術供應商Coverity，我們成立了這個新的事業(yè)部，之后我們又陸續(xù)收購了五家企業(yè)(Kalistick、Codenomicon、Seeker、Protecode、Goanna)進一步強化測試的最佳化和靜態(tài)分析的技術實力。”Synopsys高級副總裁暨SIG總經(jīng)理AndreasKuehlmann介紹，“我們賦予硬件設計更多的可預測性，在軟件方面，我們的戰(zhàn)略在一定的程度上也朝著同樣的方向在發(fā)展，為更多的設計師解決各種關鍵挑戰(zhàn)，從而降低成本和進度風險。”
      舉要治繁以技術捍衛(wèi)安全
　　在此背景下，不僅讓安防企業(yè)在編解碼、傳輸、軟件管理平臺、存儲中下足功夫，甚至也吸引了其他行業(yè)的技術型企業(yè)的進入，新思科技(Synopsys)便是其中之一。作為電子設計自動化(EDA)和半導體知識產(chǎn)權(IP)領域的領導者，早在2014年便建立了一個專注軟件質(zhì)量和軟件安全的新部門?！巴ㄟ^收購靜態(tài)分析技術供應商Coverity，我們成立了這個新的事業(yè)部，之后我們又陸續(xù)收購了五家企業(yè)(Kalistick、Codenomicon、Seeker、Protecode、Goanna)進一步強化測試的最佳化和靜態(tài)分析的技術實力?！盨ynopsys高級副總裁暨SIG總經(jīng)理AndreasKuehlmann介紹，“我們賦予硬件設計更多的可預測性，在軟件方面，我們的戰(zhàn)略在一定的程度上也朝著同樣的方向在發(fā)展，為更多的設計師解決各種關鍵挑戰(zhàn)，從而降低成本和進度風險?！?br/>　　2010年作為安防行業(yè)發(fā)展的重要分水嶺，視頻監(jiān)控行業(yè)經(jīng)歷了從模擬監(jiān)控轉(zhuǎn)向網(wǎng)絡監(jiān)控發(fā)展的變革。自此之后，許許多多的網(wǎng)絡攝像機、NVR、IP存儲服務器等產(chǎn)品的面世，意味著視頻監(jiān)控開始快速向數(shù)字化技術發(fā)展，與此同時安防行業(yè)進入高速發(fā)展時期，從模擬到數(shù)字，從單品到系統(tǒng)，從高清化、智能化、大數(shù)據(jù)到云計算等等概念接踵而至，讓安防廠商應接不暇，并一直被網(wǎng)絡的大潮推著往前走，正因為跟上時代的潮流已經(jīng)不容易，所以目前安防工程中，網(wǎng)絡安全問題仍沒有作為第一要素，工程無論在管理標準制定、設計、施工、驗收上都缺乏明確的要求和規(guī)范，甚至可以這樣認為，網(wǎng)絡安全對于安防行業(yè)而言仍然是一塊空白和陌生的領地。
　　自2014年起，視頻監(jiān)控產(chǎn)業(yè)中多起網(wǎng)絡攻擊事件讓安防從業(yè)人員開始關注到新的問題點——網(wǎng)絡安全。2015年注定是載入安防發(fā)展史的重要一年，也勢必會成為安防產(chǎn)業(yè)邁入網(wǎng)絡化時代的重要里程碑，與此同時用戶對產(chǎn)品的全方位安全性能提出更高的要求，如何讓技術跟進市場需求，這將是未來市場又一主陣地。無論從技術面、產(chǎn)品設計、企業(yè)經(jīng)營等層面看，“安全門”事件都將對安防行業(yè)的發(fā)展產(chǎn)生深遠的影響。
　　雖然安防行業(yè)對于網(wǎng)絡安全的認知相比IT及電信行業(yè)要顯得落后，但無論是國家政策還是行業(yè)發(fā)展，網(wǎng)絡安全是趨勢，也必然會是未來行業(yè)的硬性指標。如果說以前的安防行業(yè)發(fā)展強調(diào)穩(wěn)定性，隨著安全性價值的挖掘，將來必然是安全性為王，在行業(yè)不斷洗牌的過程中，這點無疑將會成為安防設備商新的差異化競爭優(yōu)勢。
　　毋庸置疑，面對網(wǎng)絡信息安全的問題，沒有人可以置身度外，沒有誰又可以做到銅墻鐵壁百毒不侵!隨著網(wǎng)絡技術越來越發(fā)達，網(wǎng)絡安全問題得到越來越多人的重視?！袄鏗eartbleed安全漏洞就因為暴露了加密信息而成為設備制造商關注的安全議題。可喜的是現(xiàn)在已經(jīng)有越來越多的設備制造商重視網(wǎng)絡安全和源代碼的質(zhì)量問題?！彪m然處理網(wǎng)絡安全和軟件質(zhì)量的方法有許多種，但最可靠和最直接的辦法卻是從源頭上進行扼制。AndreasKuehlmann認為，解決安全問題的關鍵是要找到一個能夠互補的辦法，因此新思科技通過以下四種技術，集中軟件開發(fā)的早期階段解決安全問題：
　　其一，靜態(tài)源代碼掃描測試(StaticAnalysis)，也稱為白盒測試，對應產(chǎn)品：Coverity。白盒測試能在源代碼的基礎上提供靜態(tài)分析，能夠在研發(fā)階段查找出代碼中難以發(fā)現(xiàn)的重大關鍵軟件缺陷和安全缺陷。目前支持的開發(fā)的語言包括C、C++、Java、C#、ObjectiveC、JavaScript、Python和PHP等，未來支持的開發(fā)語言將大大增加。通過讀取源代碼，實現(xiàn)深度分析來檢測安全漏洞;
　　其二，基于通訊協(xié)議的模糊測試(DynamicAnalysisorFuzzingTesting)，也稱為黑盒測試，對應產(chǎn)品：Defensics。Defensics模擬引擎是業(yè)界第一款基于狀態(tài)的模糊測試用例生成器。它利用嘗試協(xié)議模型來智能的、精確的向軟件輸入有組織的破壞性數(shù)據(jù)，試圖使系統(tǒng)崩潰，從而發(fā)現(xiàn)系統(tǒng)的未知缺陷和漏洞。目前覆蓋大約260多種協(xié)議，包含HTTP、RTSP、SIP、TCP/IP、Wi-Fi等常用協(xié)議;
　　其三，軟件成份分析(SoftwareCompositionAnalysis)，對應產(chǎn)品：Protecode。針對目前軟件開發(fā)過程中90%的部分是由開源代碼和第三方組件構(gòu)成的，軟件成分分析工具Protecode能讓用戶快速精確的檢測和審計當前代碼庫中是否使用了已有開源代碼、組件或模塊，并確認這些開源部分是否違反開源協(xié)議，并協(xié)助用戶規(guī)避違反開源協(xié)議導致的法律風險;Protecode還能夠檢測當前使用的開源代碼、已經(jīng)打包的二進制文件組件或模塊中是否包含已知的安全漏洞，Protecode已經(jīng)集成了多個知名缺陷庫，能夠有效防范黑客攻擊;
　　其四，交互式應用程序安全性測試(InteractiveApplicationSecurityTesting)，對應產(chǎn)品：Seeker。針對網(wǎng)絡應用領域的互動式應用軟件安全進行測試，通過對網(wǎng)絡應用程序?qū)崟r操作的監(jiān)控，Seeker能夠高效分析前端頁面，中間數(shù)據(jù)處理層和后端數(shù)據(jù)庫可能存在的惡意攻擊。包括著名的OWASPTop10跨站腳本攻擊、SQL注入、目錄遍歷等真實存在的問題。
　　雖然這些源代碼看上去似乎微不足道，但往往正是這些漏洞導致非常嚴重的安全事件的發(fā)生。