2017第五屆中國網(wǎng)絡(luò)安全大會在北京國家會議中心盛大舉行,北京駿一孵化器入駐企業(yè)思客云作為創(chuàng)新型安全廠商受邀出席此次會議,全力詮釋了”讓開發(fā)者愛上安全測試”這一重要軟件源代碼安全測試理念,受到廣大專家學(xué)者的一致好評。其中著名的中國工程院院士倪光南先生親臨指導(dǎo)并給予高度的肯定。
第五屆中國網(wǎng)絡(luò)安全大會是在國家相關(guān)部委的指導(dǎo)下,由賽可達實驗室聯(lián)合國內(nèi)外眾多具有影響力的行業(yè)協(xié)會、機構(gòu)等單位共同主辦的綜合性行業(yè)會議,大會以“全球化的網(wǎng)絡(luò)安全”為永久主題,旨在引入并借鑒國際信息安全領(lǐng)域最前沿的防護理念與技術(shù)成果,洞悉交流全球信息安全最新發(fā)展趨勢,聚焦探討信息安全技術(shù)與應(yīng)用熱點話題,與國際安全創(chuàng)新防護理念同步,從而推動我國網(wǎng)絡(luò)安全保障體系建設(shè),提升國家重點行業(yè)網(wǎng)絡(luò)安全防護水平。
思客云在此次大會上全力詮釋“讓開發(fā)者愛上安全測試”的源代碼安全測試理念,讓開發(fā)與安全不再對抗,而是攜手并行,共同清除代碼中的安全隱患。
一直一來,軟件源代碼安全問題總是橫在開發(fā)人員與安全人員中間的一個鴻溝,不能很好地溝通。這是因為,開發(fā)人員總是會因為開發(fā)任務(wù)繁重,上線時間緊而無法重視源代碼中的安全漏洞;而安全人員因為不能及時地獲取代碼,并有效地理解代碼的邏輯關(guān)系或者看不懂代碼而無法進行代碼安全測試工作。同時,開發(fā)人員和安全人員會因為角色和工作性質(zhì)的不同,而產(chǎn)生相互推諉,相互對抗,甚至相互指責(zé)問題。這都會最終導(dǎo)致根本無法順利開展代碼安全測試工作。思客云的高級安全咨詢師正是認識到這一點,深入地分析和梳理問題,并不斷地總結(jié)用戶的經(jīng)驗,最終提出了“讓開發(fā)者愛上安全測試”的測試理念,并以多年為用戶服務(wù)而總結(jié)出的“Gate+”測試模式為最佳實踐。在用戶企業(yè)的開發(fā)、安全、測試和管理等多個部分之間,形成“一個基礎(chǔ),一個中心,兩個基本點”的完整的軟件源代碼發(fā)測試管理體系。讓“讓開發(fā)者愛上安全測試”真正落地,“讓源代碼安全測試流利起來”成為可能。
在大會展覽過程中,思客云作為創(chuàng)新型安全企業(yè)代表接受倪光南院士的親臨指導(dǎo)。倪院士與思客云負責(zé)人做了簡單的交談,并給給予思客云充分的肯定。交談內(nèi)容大致有:
倪:“你們找八哥是怎么找軟件的安全漏洞的?”
思:“我們找八哥系統(tǒng)是對軟件源代碼進行白盒掃描,結(jié)合內(nèi)置的1000多種的安全漏洞類型,上萬條規(guī)則進行系統(tǒng)性分析,從源代碼層面找出安全問題的。”
倪:“屬于白盒測試?”
思:“對”
倪:“支持哪些語言?”
思:“目前可以支持主流的十幾種開發(fā)語言。如JAVA、C、C++、DotNet 、 PHP、ASP、 Adriod_Java、 Objective_C等等?;旧峡梢愿采w常用的所有開發(fā)語言了。”
倪:“哦,那對于安全漏洞,檢測的全面嗎? 準(zhǔn)確嗎?”
思: “檢測還是很全面的,我們不但支持像CWE這樣的國際漏洞標(biāo)準(zhǔn) ——還可以支持對開發(fā)人員一些編碼習(xí)慣上的檢測,可以在開發(fā)過程中全面檢測代碼中的安全、質(zhì)量、性能等問題。 關(guān)于準(zhǔn)確性方面,我們可以根據(jù)用戶的特點進行自定義,所以還是很準(zhǔn)確的。”
倪:“好好好,那你們找八哥是自己做的?還是別人的東西?”
思:“是我們自己完全自主研發(fā)的,屬于國產(chǎn)、自主可控的產(chǎn)品。 ”
倪:“嗯, 你們做得很好呀,這個代碼安全方面不好做,你們能夠自己自主研發(fā)出來這樣的產(chǎn)品是很不錯的。希望你們可以繼續(xù)努力,加油吧!”
經(jīng)過簡單的交談后,倪院士和思客云的負責(zé)人交換了名片, 并表示后期可以深入地交流與合作。