如果软件完整性是一场旅行，谁会是你的向导？

截至2017年6月，中国网民规模已达7.51亿，较2016年底新增网民1,992万人，互联网普及率为54.3%。据《中国网民权益保护调查报告(2016)》显示，2016年，有37%的网民因收到各类诈骗信息而蒙受经济损失。在个人信息安全中，72%的网民认为个人身份信息泄露情况最严重，包括姓名、手机号、住址、身份证号码等信息。网络安全建设未来3-5年行业复合增速预计将达到25%-30%，有望到2020年成为千亿级市场。

应用程序安全则是安全领域的另一个重灾区。新思科技(Synopsys)软件质量与安全部门(SIG)亚太区董事总经理陈玉贞认为，目前市场的普遍做法是，企业即使没有100%准备好也会尽早在市场推出他们的软件或者APP，然后再依靠频繁的软件升级和安全补丁来降低潜在的安全威胁。虽然这是一个昂贵且费时的工作，但考虑到快速上市的利益，一些企业有可能把这些弊端看作是不可避免的。据不完全统计，在国内应用商店上架的APP超过400万款。2017年一季度，手机APP越界造成大量用户隐私信息泄露，引发以网络欺诈为主的诈骗案，近97%的安卓应用，近70%的IOS应用会获取用户手机隐私权限。

然而，她认为，随着中国对网络安全越发重视，这个市场规则势必会彻底改变。

新思科技(Synopsys)软件质量与安全部门(SIG)亚太区董事总经理陈玉贞

从零散补救到SDLC

2017年6月1日，《中华人民共和国网络安全法》正式生效，如果违反规定，违规企业将被处以100万元人民币(约15万美金)的最高罚款，情节严重的会被指控承担刑事责任。有鉴于此，中国企业必须尽可能识别和消除软件缺陷和漏洞。此外，国家移动互联网应用安全管理中心(CNAAC)宣布将对申请上架的APP进行全方位的安全检测，对检测合格的APP授予“CNAAC应用安全标识”，作为认证APP符合国家安全管理规范的官方证明。总而言之，企业必须在软件或者APP推出市场前将安全漏洞最小化。

“中国正在进入一个‘大安全时代’，网络安全不再单指信息安全和信息系统安全，而是社会安全、基础设施安全、人身安全等更广泛意义上的安全。”陈玉贞强调称，中国软件行业最大的挑战之一是安全，从轻微的软件缺陷到严重的漏洞，再到潜在的大规模数据泄露。随着中国经济加速数字化转型，软件安全问题预计将更为严峻。她呼吁中国软件行业对安全的思维模式急需转变，即从零散补救到注重全面、安全的软件开发生命周期(SDLC)，而这正是新思科技软件质量与安全部门的技术、解决方案及服务专注的领域。

作为全球最为知名的EDA工具与IP供应商，Synopsys为何选择将软件安全纳入自身的业务体系之中？陈玉贞对此解释称，Synopsys的品牌在传统市场的地位已经更深蒂固，之所以要进入软件安全领域，是因为客户提出了这样的需求。也就是说，很多用户希望Synopsys在已有的全套硬件设计工具基础之上，继续提供安全软件来帮助他们验证软件的可靠性。

目前，新思科技是全球第15大软件公司，能够提供一套全面的、托管的、专业的服务、产品和培训，并能够根据客户的具体需求进行量身定制。他们将这一概念称为“内置完整性” (Building Security In)，希望借此将功能、质量和安全性均无缝地融入SDLC。

软件完整性是一场旅行

新思科技的软件质量与安全平台包括测试产品、托管服务、程序设计与开发和专业服务四大类。以测试项目为例，包括四种：静态代码分析(Coverity)，是在编码过程中以极高的准确度发现质量缺陷及安全漏洞；软件组件分析(Protecode)，是从二进制代码、开源代码以及第三方代码中发现许可证合规性问题和已知漏洞；智能模糊测试(Defensics)以不正确的输入格式对系统进行随机测试，以触发危险的、未知的漏洞；交互式应用安全测试(Seeker)是在模拟应用中的实际漏洞测试，验证其结果并消除误报。

新思科技软件质量与安全部门高级安全架构师杨国梁

“此外，我们还提供托管服务，即‘安全即服务’(SaaS)模式，能让用户在需要之时接触到数百名安全和质量专家，这样他们就可以缩小检测空白、进行任何深度的测试发，并快速扩展以管理高需求测试期。”根据新思科技软件质量与安全部门高级安全架构师杨国梁的介绍，Synopsys高级自动化测试工具包括：用于消除服务器端应用和 API 中漏洞的渗透测试；在 Web应用运行过程中发现安全漏洞，而不需要源代码的动态应用安全测试(DAST)；把传统的静态和动态测试技术结合到一起，以发现漏洞、恶意软件或潜在危险行为的移动应用安全测试；以及扫描源代码并系统性地发现和消除软件安全漏洞的静态应用安全测试(SAST)。

新思科技软件质量与安全全解决方案

新思科技自1995年进入中国市场以来，在上海、香港、深圳和武汉均设有办事处。上海办事处和研发中心目前拥有200多名销售、研发和技术支持人员。武汉研发和技术支持中心于2013年正式启用，目前有189名员工，并且新思科技正在武汉新建工业园，总投资为5,000万美元，预计2019年底投入运营。预计到2020年，武汉研发团队会壮大到500名员工。

除了积极布局中国市场外，新思科技在海外的收购步伐也没有任何停止的迹象。日前，该公司就宣布完成对黑鸭子软件公司(Black Duck Software)的收购。黑鸭子软件是一家私营公司，专门提供保护及管理开源软件的自动化解决方案。此次收购现金交易价值约为5.47亿美元，其中已扣除黑鸭子软件所持现金。

新思方面认为，软件开发正面临急剧的变化，开源软件和代码被广泛应用，现在有近60%的软件应用都采用了开源代码。虽然采用开源软件和代码有降低软件开发成本及有助加快产品进入市场的优点，这也同时带来巨大的安全及未经许可的合规挑战，因为大部分机构对所用开源代码和软件并没有透彻的了解。而黑鸭子软件领先业界的方案能把识别及分析开源代码的过程自动化，检测已知的安全漏洞及许可合规问题，也可就影响开源代码的新发现安全漏洞及时发出警报。

本文为《电子工程专辑》原创，版权所有，谢绝转载