不忘初心，開源網安捍衞中國軟件安全

2020年，新冠肺炎疫情爆發，實體經濟按下暫停鍵，但依靠網絡建設、遠程辦公、電子商務等數字經濟手段的快速普及，中國有力地保障了抗疫成功和經濟發展。

但數字經濟在催生國內第二發展曲線的同時，也打開了威脅、攻擊等黑產的潘多拉魔盒，讓數字經濟所面臨的威脅不斷加劇，危害企業、國家、人民的生命安全。2020年11月29日感恩節週末，富士康母公司鴻海集團位於墨西哥的工廠遭遇了“DoppelPaymer”勒索軟件的攻擊。黑客入侵了約1200台服務器，要求富士康支付1804.0955枚比特幣作為贖金，而按照當時比特幣的價格估算人民幣超2億元。這只是冰山一角，SolarWinds供應鏈APT攻擊的風暴正在席捲全球，與曾經波及工控系統的NotPetya和Havex類似，SolarWinds供應鏈攻擊中的SUNBURST和SUPERNOVA惡意軟件（後門）再次證明，當下的防火牆、防病毒系統、入侵檢測系統對此類攻擊無能為力，而隨着OT網絡與企業網絡的集成化發展，類似SolarWinds供應鏈漏洞的巨大威力已經引起了勒索軟件組織的極大興趣。如果能夠殺死甚至控制工控系統OT網絡的關鍵進程，那麼勒索贖金的籌碼也許將不再是解密數據，而是花錢消災甚至拿錢換命。

“十四五”是數字化轉型的關鍵階段，在解決缺芯少魂問題的同時，廣泛使用開源技術和組件“彎道超車”成為軟件行業的共識。據Gartner統計，99%的組織在其 IT系統中使用了開源組件，可以説，現代軟件大多數是被“組裝”出來的，不是被“開發”出來的。使用開源組件作為“原材料”，加上適配中國實際業務場景的代碼，最後“組裝”出自己的軟件。可以説，開源組件已成為現代軟件開發的基礎設施。

 與此同時，隨着先進裝備的軟件化程度不斷提升，由軟件缺陷和漏洞引發的安全問題日益凸顯，開源軟件安全已經成為焦點問題。

 國產化替代大勢所趨

過去我國的信息化、數字化建設客觀上有“重硬輕軟”的問題，在軟件領域的投入力度存在不足，而軟件又貫穿了各種信息化產品研發設計、生產控制、測試組裝等基礎環節。根據Gartner的數據，2019年全球3.8萬億美元的IT支出中有4310億美元為軟件支出，佔比約為11%；而我國2019年2.9萬億元的IT支出中有878億元為軟件支出，佔比僅為3%，遠遠低於全球平均水平。而具體到製造業上，我國作為製造大國，工業軟件發展和應用水平卻與地位不符，上一階段的工業自動化建設也偏向於硬件設備端，工業軟件的發展落後於整體產業升級的進度。因此為了自主實現我國製造業向智能製造的升級，就必須要儘快彌補在工業軟件層面的“短板”。

根據賽迪顧問於2019年8月發佈的《中國工業軟件發展白皮書（2019）》，我國將在一段時期內都以嵌入類軟件為主，預計到2021年市場規模將達到1510億元，而信息管理類和生產控制類的市場規模均將達到450億元左右。國產軟件處於“管理軟件強、工程軟件弱；低端軟件多，高端軟件少”的現狀。

傳統國產替代被認為是依靠政策推動的市場，替代進程受政策力度影響大，隨着中美關係緊張，科技高地的爭奪，以及人工智能生態，雲計算新生態的發展，我們認為國產替代發展到現階段，產品已經進入了一個創新的階段，信創不僅是國產替代，同樣也需要創新產品。很多產品已經無法在海外找到替代的原型，國內信創產品已經進入了創新者階段，而芯片和生態成為了信創真正的創新點，行業應用將依託應用軟件的創新加速發展。

國產軟件替代有望先行。從B端使用者角度，首先市場上出現可用、易用、好用的國產應用軟件，而後軟件廠商逐步對國產硬件進行適配，最終實現國產替代的路徑較為合理。根據Gartner預計，2021年市場規模分別將達3772億元與1207億元。

佔據中國市場長達幾十年的國外產品在性能和速度上是優越的，國產化替代的進程必定是漫長且疼痛的。但是必須堅持這麼做，如果不是自主可控的產品，中國產業可能在一天之內癱瘓，這不是危言聳聽。如果説國產化替代是一場戰爭，那麼CPU、操作系統、數據庫等基礎軟硬件，就是自主可控的“正面戰場”，是國家網絡安全的基礎和保障。

 過去相當長的時間，我們的IT產業生態基本是建立在國外科技企業的硬軟件之上，國內企業在產品性能、技術創新、生態建設等方面與之相比，仍有較大差距。不過，近年來國產化替代呈加速趨勢，這背後是多方力量的共同推動，包括日趨複雜的國際政治經濟大環境、國內鼓勵的產業政策、企業數字化轉型催生的新需求，以及國產軟件品牌的崛起等。

國內SDL任重道遠

微軟2000年提出安全開發生命週期（SDL）已有十多年曆史，在幫助開發人員構建更安全的軟件和解決安全合規要求的同時，軟件開發過程方法論和工具進一步降低了開發成本。如今，SDL已進入我國軟件開發行業的視野。不同於網絡安全保障是在各類信息化產品開發完成上線後的防護，安全開發目的是從各類信息化產品的開發階段將軟件的攻擊面最小化、安全威脅最低化、安全質量最高化。其本質是從信息化產品開發的源頭保障網絡安全。

微軟對安全開發過程的重視有目共睹，從軟件生命週期的角度來保障安全的理念大家都接受，可畢竟中美法規、市場、文化差距較大，微軟SDL產品在國內遲遲未能落地。但是，SDL的意識認知在國內網信行業生根發芽，近年在落地應用方面已取得了重要發展。華為、海康威視、滴滴、阿里等國內知名信息技術產品研發企業和互聯網公司紛紛在自身的產品研發和系統開發過程中應用了適應自身企業特徵的SDL。

然而，上述踐行的SDL自身企業特徵過於突出，並不能解決行業的共有痛點。國內SDL的發展不能依賴於大型互聯網公司的實踐與開拓，專業信息安全公司也應該從中發揮作用。SDL的發展要考慮各行業的特徵和需求，並結合行業特徵去分別建立適合本行業SDL。只有各行各業都重視和實踐SDL，才能促進中國網絡安全保障再上台階。

安全左移佔據開發管理關鍵策略

在國家高度重視網絡安全保障的情況下，沒有經過合理安全開發、充分安全測試、有效消除缺陷的“自帶漏洞”軟件產品大量湧入市場，並投入實際應用。這必將為已初步成形的國家網絡安全保障態勢帶來新的隱患。

業界已普遍意識到把安全從運維端左移到開發過程中，才是更優的選項。如微軟這樣的大型企業也無法避免軟件安全漏洞所帶來的損失，國內軟件行業也將會同樣面臨安全問題所帶來的嚴峻考驗。國產軟件行業爆發的同時，安全需求市場也必將快速崛起。

隨着雲計算的普遍應用，微服務架構與容器技術的使用趨向成熟，既為企業業務高速發展提供了充足的技術保障，又對軟件開發運維工作帶來了更高的要求。各企業適用的開發運維模型不盡相同，有瀑布模型、敏捷模型、DevOps等，軟件安全一直都是貫穿始終的核心，形成不同的安全開發模型。在軟件開發生命週期(Software Development Life Cycle)內，不同的安全開發模型，適用場景各有側重：SDL安全開發模型適用於系統軟件，如操作系統，編譯處理軟件，數據庫及管理系統，硬件控制系統等，具有綜合性，週期長，迭代慢等特點，其開發過程如同瀑布流程，一步一步地進行分析、預測、實現、測試、實施和支持階段；DevSecOps安全開發模型適用於應用軟件，如文字表格處理，圖形圖像處理，統計演示軟件，網絡通信軟件等，具有周期短、迭代快、市場反饋靈活等特點，與傳統開發流程相比，能夠幫助企業更快的發展和改進產品，更好的服務其客户，並在市場上高效的參與競爭。

 開源網安肩負使命

開源網安一直以來秉承“捍衞中國軟件安全”的核心理念，致力於為中國軟件安全保駕護航，幫助企業提升軟件的安全與質量，持續向客户提供覆蓋軟件安全開發全生命週期的安全產品、解決方案、安全培訓及安全服務。

其中開源網安軟件安全全生命週期平台（S-SDLC）整合了安全開發流程、方法、工具，幫助企業快捷交付安全、可靠的軟件。平台繼承開源網安龐大的威脅數據庫和安全需求庫，全面覆蓋軟件開發從架構設計到部署運維各個階段的安全需求。以打造安全的軟件產品為核心目標，基於差距分析和現有開發流程，着重構造安全開發能力，可定製化交付。

除此之外，開源網安還提供灰盒安全測試平台(VulHunter)、開源組件安全及合規管理平台(SourceCheck)、代碼審核平台（CodeSec）、模糊測試平台（SFuzz）、實時應用自我防護平台（RASP）等多項產品，同時，基於各產品綜合特性，進行優化組合，提供DevSecOps平台解決方案，為軟件安全保駕護航。

開源網安作為“軟件安全行業的創領者”，未來將不斷提升自身水準，緊跟國家政策，助力政府及企業保障軟件安全，為推動中國軟件產業實現高質量發展作出貢獻。