2020年,新冠肺炎疫情爆發(fā),實體經(jīng)濟按下暫停鍵,但依靠網(wǎng)絡(luò)建設(shè)、遠程辦公、電子商務(wù)等數(shù)字經(jīng)濟手段的快速普及,中國有力地保障了抗疫成功和經(jīng)濟發(fā)展。

但數(shù)字經(jīng)濟在催生國內(nèi)第二發(fā)展曲線的同時,也打開了威脅、攻擊等黑產(chǎn)的潘多拉魔盒,讓數(shù)字經(jīng)濟所面臨的威脅不斷加劇,危害企業(yè)、國家、人民的生命安全。2020年11月29日感恩節(jié)周末,富士康母公司鴻海集團位于墨西哥的工廠遭遇了“DoppelPaymer”勒索軟件的攻擊。黑客入侵了約1200臺服務(wù)器,要求富士康支付1804.0955枚比特幣作為贖金,而按照當時比特幣的價格估算人民幣超2億元。這只是冰山一角,SolarWinds供應(yīng)鏈APT攻擊的風暴正在席卷全球,與曾經(jīng)波及工控系統(tǒng)的NotPetya和Havex類似,SolarWinds供應(yīng)鏈攻擊中的SUNBURST和SUPERNOVA惡意軟件(后門)再次證明,當下的防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)對此類攻擊無能為力,而隨著OT網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)的集成化發(fā)展,類似SolarWinds供應(yīng)鏈漏洞的巨大威力已經(jīng)引起了勒索軟件組織的極大興趣。如果能夠殺死甚至控制工控系統(tǒng)OT網(wǎng)絡(luò)的關(guān)鍵進程,那么勒索贖金的籌碼也許將不再是解密數(shù)據(jù),而是花錢消災(zāi)甚至拿錢換命。

“十四五”是數(shù)字化轉(zhuǎn)型的關(guān)鍵階段,在解決缺芯少魂問題的同時,廣泛使用開源技術(shù)和組件“彎道超車”成為軟件行業(yè)的共識。據(jù)Gartner統(tǒng)計,99%的組織在其 IT系統(tǒng)中使用了開源組件,可以說,現(xiàn)代軟件大多數(shù)是被“組裝”出來的,不是被“開發(fā)”出來的。使用開源組件作為“原材料”,加上適配中國實際業(yè)務(wù)場景的代碼,最后“組裝”出自己的軟件?？梢哉f,開源組件已成為現(xiàn)代軟件開發(fā)的基礎(chǔ)設(shè)施。

與此同時,隨著先進裝備的軟件化程度不斷提升,由軟件缺陷和漏洞引發(fā)的安全問題日益凸顯,開源軟件安全已經(jīng)成為焦點問題。

國產(chǎn)化替代大勢所趨

過去我國的信息化、數(shù)字化建設(shè)客觀上有“重硬輕軟”的問題,在軟件領(lǐng)域的投入力度存在不足,而軟件又貫穿了各種信息化產(chǎn)品研發(fā)設(shè)計、生產(chǎn)控制、測試組裝等基礎(chǔ)環(huán)節(jié)。根據(jù)Gartner的數(shù)據(jù),2019年全球3.8萬億美元的IT支出中有4310億美元為軟件支出,占比約為11%;而我國2019年2.9萬億元的IT支出中有878億元為軟件支出,占比僅為3%,遠遠低于全球平均水平。而具體到制造業(yè)上,我國作為制造大國,工業(yè)軟件發(fā)展和應(yīng)用水平卻與地位不符,上一階段的工業(yè)自動化建設(shè)也偏向于硬件設(shè)備端,工業(yè)軟件的發(fā)展落后于整體產(chǎn)業(yè)升級的進度。因此為了自主實現(xiàn)我國制造業(yè)向智能制造的升級,就必須要盡快彌補在工業(yè)軟件層面的“短板”。

根據(jù)賽迪顧問于2019年8月發(fā)布的《中國工業(yè)軟件發(fā)展白皮書(2019)》,我國將在一段時期內(nèi)都以嵌入類軟件為主,預(yù)計到2021年市場規(guī)模將達到1510億元,而信息管理類和生產(chǎn)控制類的市場規(guī)模均將達到450億元左右。國產(chǎn)軟件處于“管理軟件強、工程軟件弱;低端軟件多,高端軟件少”的現(xiàn)狀。

傳統(tǒng)國產(chǎn)替代被認為是依靠政策推動的市場,替代進程受政策力度影響大,隨著中美關(guān)系緊張,科技高地的爭奪,以及人工智能生態(tài),云計算新生態(tài)的發(fā)展,我們認為國產(chǎn)替代發(fā)展到現(xiàn)階段,產(chǎn)品已經(jīng)進入了一個創(chuàng)新的階段,信創(chuàng)不僅是國產(chǎn)替代,同樣也需要創(chuàng)新產(chǎn)品。很多產(chǎn)品已經(jīng)無法在海外找到替代的原型,國內(nèi)信創(chuàng)產(chǎn)品已經(jīng)進入了創(chuàng)新者階段,而芯片和生態(tài)成為了信創(chuàng)真正的創(chuàng)新點,行業(yè)應(yīng)用將依托應(yīng)用軟件的創(chuàng)新加速發(fā)展。

國產(chǎn)軟件替代有望先行。從B端使用者角度,首先市場上出現(xiàn)可用、易用、好用的國產(chǎn)應(yīng)用軟件,而后軟件廠商逐步對國產(chǎn)硬件進行適配,最終實現(xiàn)國產(chǎn)替代的路徑較為合理。根據(jù)Gartner預(yù)計,2021年市場規(guī)模分別將達3772億元與1207億元。

占據(jù)中國市場長達幾十年的國外產(chǎn)品在性能和速度上是優(yōu)越的,國產(chǎn)化替代的進程必定是漫長且疼痛的。但是必須堅持這么做,如果不是自主可控的產(chǎn)品,中國產(chǎn)業(yè)可能在一天之內(nèi)癱瘓,這不是危言聳聽。如果說國產(chǎn)化替代是一場戰(zhàn)爭,那么CPU、操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)軟硬件,就是自主可控的“正面戰(zhàn)場”,是國家網(wǎng)絡(luò)安全的基礎(chǔ)和保障。

過去相當長的時間,我們的IT產(chǎn)業(yè)生態(tài)基本是建立在國外科技企業(yè)的硬軟件之上,國內(nèi)企業(yè)在產(chǎn)品性能、技術(shù)創(chuàng)新、生態(tài)建設(shè)等方面與之相比,仍有較大差距。不過,近年來國產(chǎn)化替代呈加速趨勢,這背后是多方力量的共同推動,包括日趨復雜的國際政治經(jīng)濟大環(huán)境、國內(nèi)鼓勵的產(chǎn)業(yè)政策、企業(yè)數(shù)字化轉(zhuǎn)型催生的新需求,以及國產(chǎn)軟件品牌的崛起等。

國內(nèi)SDL任重道遠

微軟2000年提出安全開發(fā)生命周期(SDL)已有十多年歷史,在幫助開發(fā)人員構(gòu)建更安全的軟件和解決安全合規(guī)要求的同時,軟件開發(fā)過程方法論和工具進一步降低了開發(fā)成本。如今,SDL已進入我國軟件開發(fā)行業(yè)的視野。不同于網(wǎng)絡(luò)安全保障是在各類信息化產(chǎn)品開發(fā)完成上線后的防護,安全開發(fā)目的是從各類信息化產(chǎn)品的開發(fā)階段將軟件的攻擊面最小化、安全威脅最低化、安全質(zhì)量最高化。其本質(zhì)是從信息化產(chǎn)品開發(fā)的源頭保障網(wǎng)絡(luò)安全。

微軟對安全開發(fā)過程的重視有目共睹,從軟件生命周期的角度來保障安全的理念大家都接受,可畢竟中美法規(guī)、市場、文化差距較大,微軟SDL產(chǎn)品在國內(nèi)遲遲未能落地。但是,SDL的意識認知在國內(nèi)網(wǎng)信行業(yè)生根發(fā)芽,近年在落地應(yīng)用方面已取得了重要發(fā)展。華為、?？低?、滴滴、阿里等國內(nèi)知名信息技術(shù)產(chǎn)品研發(fā)企業(yè)和互聯(lián)網(wǎng)公司紛紛在自身的產(chǎn)品研發(fā)和系統(tǒng)開發(fā)過程中應(yīng)用了適應(yīng)自身企業(yè)特征的SDL。

然而,上述踐行的SDL自身企業(yè)特征過于突出,并不能解決行業(yè)的共有痛點。國內(nèi)SDL的發(fā)展不能依賴于大型互聯(lián)網(wǎng)公司的實踐與開拓,專業(yè)信息安全公司也應(yīng)該從中發(fā)揮作用。SDL的發(fā)展要考慮各行業(yè)的特征和需求,并結(jié)合行業(yè)特征去分別建立適合本行業(yè)SDL。只有各行各業(yè)都重視和實踐SDL,才能促進中國網(wǎng)絡(luò)安全保障再上臺階。

安全左移占據(jù)開發(fā)管理關(guān)鍵策略

在國家高度重視網(wǎng)絡(luò)安全保障的情況下,沒有經(jīng)過合理安全開發(fā)、充分安全測試、有效消除缺陷的“自帶漏洞”軟件產(chǎn)品大量涌入市場,并投入實際應(yīng)用。這必將為已初步成形的國家網(wǎng)絡(luò)安全保障態(tài)勢帶來新的隱患。

業(yè)界已普遍意識到把安全從運維端左移到開發(fā)過程中,才是更優(yōu)的選項。如微軟這樣的大型企業(yè)也無法避免軟件安全漏洞所帶來的損失,國內(nèi)軟件行業(yè)也將會同樣面臨安全問題所帶來的嚴峻考驗。國產(chǎn)軟件行業(yè)爆發(fā)的同時,安全需求市場也必將快速崛起。

隨著云計算的普遍應(yīng)用,微服務(wù)架構(gòu)與容器技術(shù)的使用趨向成熟,既為企業(yè)業(yè)務(wù)高速發(fā)展提供了充足的技術(shù)保障,又對軟件開發(fā)運維工作帶來了更高的要求。各企業(yè)適用的開發(fā)運維模型不盡相同,有瀑布模型、敏捷模型、DevOps等,軟件安全一直都是貫穿始終的核心,形成不同的安全開發(fā)模型。在軟件開發(fā)生命周期(Software Development Life Cycle)內(nèi),不同的安全開發(fā)模型,適用場景各有側(cè)重:SDL安全開發(fā)模型適用于系統(tǒng)軟件,如操作系統(tǒng),編譯處理軟件,數(shù)據(jù)庫及管理系統(tǒng),硬件控制系統(tǒng)等,具有綜合性,周期長,迭代慢等特點,其開發(fā)過程如同瀑布流程,一步一步地進行分析、預(yù)測、實現(xiàn)、測試、實施和支持階段;DevSecOps安全開發(fā)模型適用于應(yīng)用軟件,如文字表格處理,圖形圖像處理,統(tǒng)計演示軟件,網(wǎng)絡(luò)通信軟件等,具有周期短、迭代快、市場反饋靈活等特點,與傳統(tǒng)開發(fā)流程相比,能夠幫助企業(yè)更快的發(fā)展和改進產(chǎn)品,更好的服務(wù)其客戶,并在市場上高效的參與競爭。

開源網(wǎng)安肩負使命

開源網(wǎng)安一直以來秉承“捍衛(wèi)中國軟件安全”的核心理念,致力于為中國軟件安全保駕護航,幫助企業(yè)提升軟件的安全與質(zhì)量,持續(xù)向客戶提供覆蓋軟件安全開發(fā)全生命周期的安全產(chǎn)品、解決方案、安全培訓及安全服務(wù)。

其中開源網(wǎng)安軟件安全全生命周期平臺(S-SDLC)整合了安全開發(fā)流程、方法、工具,幫助企業(yè)快捷交付安全、可靠的軟件。平臺繼承開源網(wǎng)安龐大的威脅數(shù)據(jù)庫和安全需求庫,全面覆蓋軟件開發(fā)從架構(gòu)設(shè)計到部署運維各個階段的安全需求。以打造安全的軟件產(chǎn)品為核心目標,基于差距分析和現(xiàn)有開發(fā)流程,著重構(gòu)造安全開發(fā)能力,可定制化交付。

除此之外,開源網(wǎng)安還提供灰盒安全測試平臺(VulHunter)、開源組件安全及合規(guī)管理平臺(SourceCheck)、代碼審核平臺(CodeSec)、模糊測試平臺(SFuzz)、實時應(yīng)用自我防護平臺(RASP)等多項產(chǎn)品,同時,基于各產(chǎn)品綜合特性,進行優(yōu)化組合,提供DevSecOps平臺解決方案,為軟件安全保駕護航。

開源網(wǎng)安作為“軟件安全行業(yè)的創(chuàng)領(lǐng)者”,未來將不斷提升自身水準,緊跟國家政策,助力政府及企業(yè)保障軟件安全,為推動中國軟件產(chǎn)業(yè)實現(xiàn)高質(zhì)量發(fā)展作出貢獻。