2020年,新冠肺炎疫情爆發,實體經濟按下暫停鍵,但依靠網路建設、遠端辦公、電子商務等數字經濟手段的快速普及,中國有力地保障了抗疫成功和經濟發展。
但數字經濟在催生國內第二發展曲線的同時,也打開了威脅、攻擊等黑產的潘多拉魔盒,讓數字經濟所面臨的威脅不斷加劇,危害企業、國家、人民的生命安全。2020年11月29日感恩節週末,富士康母公司鴻海集團位於墨西哥的工廠遭遇了“DoppelPaymer”勒索軟體的攻擊。駭客入侵了約1200臺伺服器,要求富士康支付1804.0955枚比特幣作為贖金,而按照當時比特幣的價格估算人民幣超2億元。這只是冰山一角,SolarWinds供應鏈APT攻擊的風暴正在席捲全球,與曾經波及工控系統的NotPetya和Havex類似,SolarWinds供應鏈攻擊中的SUNBURST和SUPERNOVA惡意軟體(後門)再次證明,當下的防火牆、防病毒系統、入侵檢測系統對此類攻擊無能為力,而隨著OT網路與企業網路的整合化發展,類似SolarWinds供應鏈漏洞的巨大威力已經引起了勒索軟體組織的極大興趣。如果能夠殺死甚至控制工控系統OT網路的關鍵程序,那麼勒索贖金的籌碼也許將不再是解密資料,而是花錢消災甚至拿錢換命。
“十四五”是數字化轉型的關鍵階段,在解決缺芯少魂問題的同時,廣泛使用開源技術和元件“彎道超車”成為軟體行業的共識。據Gartner統計,99%的組織在其 IT系統中使用了開源元件,可以說,現代軟體大多數是被“組裝”出來的,不是被“開發”出來的。使用開源元件作為“原材料”,加上適配中國實際業務場景的程式碼,最後“組裝”出自己的軟體。可以說,開源元件已成為現代軟體開發的基礎設施。
與此同時,隨著先進裝備的軟體化程度不斷提升,由軟體缺陷和漏洞引發的安全問題日益凸顯,開源軟體安全已經成為焦點問題。
國產化替代大勢所趨
過去我國的資訊化、數字化建設客觀上有“重硬輕軟”的問題,在軟體領域的投入力度存在不足,而軟體又貫穿了各種資訊化產品研發設計、生產控制、測試組裝等基礎環節。根據Gartner的資料,2019年全球3.8萬億美元的IT支出中有4310億美元為軟體支出,佔比約為11%;而我國2019年2.9萬億元的IT支出中有878億元為軟體支出,佔比僅為3%,遠遠低於全球平均水平。而具體到製造業上,我國作為製造大國,工業軟體發展和應用水平卻與地位不符,上一階段的工業自動化建設也偏向於硬體裝置端,工業軟體的發展落後於整體產業升級的進度。因此為了自主實現我國製造業向智慧製造的升級,就必須要儘快彌補在工業軟體層面的“短板”。
根據賽迪顧問於2019年8月釋出的《中國工業軟體發展白皮書(2019)》,我國將在一段時期內都以嵌入類軟體為主,預計到2021年市場規模將達到1510億元,而資訊管理類和生產控制類的市場規模均將達到450億元左右。國產軟體處於“管理軟體強、工程軟體弱;低端軟體多,高階軟體少”的現狀。
傳統國產替代被認為是依靠政策推動的市場,替代程序受政策力度影響大,隨著中美關係緊張,科技高地的爭奪,以及人工智慧生態,雲計算新生態的發展,我們認為國產替代發展到現階段,產品已經進入了一個創新的階段,信創不僅是國產替代,同樣也需要創新產品。很多產品已經無法在海外找到替代的原型,國內信創產品已經進入了創新者階段,而晶片和生態成為了信創真正的創新點,行業應用將依託應用軟體的創新加速發展。
國產軟體替代有望先行。從B端使用者角度,首先市場上出現可用、易用、好用的國產應用軟體,而後軟體廠商逐步對國產硬體進行適配,最終實現國產替代的路徑較為合理。根據Gartner預計,2021年市場規模分別將達3772億元與1207億元。
佔據中國市場長達幾十年的國外產品在效能和速度上是優越的,國產化替代的程序必定是漫長且疼痛的。但是必須堅持這麼做,如果不是自主可控的產品,中國產業可能在一天之內癱瘓,這不是危言聳聽。如果說國產化替代是一場戰爭,那麼CPU、作業系統、資料庫等基礎軟硬體,就是自主可控的“正面戰場”,是國家網路安全的基礎和保障。
過去相當長的時間,我們的IT產業生態基本是建立在國外科技企業的硬軟體之上,國內企業在產品效能、技術創新、生態建設等方面與之相比,仍有較大差距。不過,近年來國產化替代呈加速趨勢,這背後是多方力量的共同推動,包括日趨複雜的國際政治經濟大環境、國內鼓勵的產業政策、企業數字化轉型催生的新需求,以及國產軟體品牌的崛起等。
國內SDL任重道遠
微軟2000年提出安全開發生命週期(SDL)已有十多年曆史,在幫助開發人員構建更安全的軟體和解決安全合規要求的同時,軟體開發過程方法論和工具進一步降低了開發成本。如今,SDL已進入我國軟體開發行業的視野。不同於網路安全保障是在各類資訊化產品開發完成上線後的防護,安全開發目的是從各類資訊化產品的開發階段將軟體的攻擊面最小化、安全威脅最低化、安全質量最高化。其本質是從資訊化產品開發的源頭保障網路安全。
微軟對安全開發過程的重視有目共睹,從軟體生命週期的角度來保障安全的理念大家都接受,可畢竟中美法規、市場、文化差距較大,微軟SDL產品在國內遲遲未能落地。但是,SDL的意識認知在國內網信行業生根發芽,近年在落地應用方面已取得了重要發展。華為、海康威視、滴滴、阿里等國內知名資訊科技產品研發企業和網際網路公司紛紛在自身的產品研發和系統開發過程中應用了適應自身企業特徵的SDL。
然而,上述踐行的SDL自身企業特徵過於突出,並不能解決行業的共有痛點。國內SDL的發展不能依賴於大型網際網路公司的實踐與開拓,專業資訊保安公司也應該從中發揮作用。SDL的發展要考慮各行業的特徵和需求,並結合行業特徵去分別建立適合本行業SDL。只有各行各業都重視和實踐SDL,才能促進中國網路安全保障再上臺階。
安全左移佔據開發管理關鍵策略
在國家高度重視網路安全保障的情況下,沒有經過合理安全開發、充分安全測試、有效消除缺陷的“自帶漏洞”軟體產品大量湧入市場,並投入實際應用。這必將為已初步成形的國家網路安全保障態勢帶來新的隱患。
業界已普遍意識到把安全從運維端左移到開發過程中,才是更優的選項。如微軟這樣的大型企業也無法避免軟體安全漏洞所帶來的損失,國內軟體行業也將會同樣面臨安全問題所帶來的嚴峻考驗。國產軟體行業爆發的同時,安全需求市場也必將快速崛起。
隨著雲計算的普遍應用,微服務架構與容器技術的使用趨向成熟,既為企業業務高速發展提供了充足的技術保障,又對軟體開發運維工作帶來了更高的要求。各企業適用的開發運維模型不盡相同,有瀑布模型、敏捷模型、DevOps等,軟體安全一直都是貫穿始終的核心,形成不同的安全開發模型。在軟體開發生命週期(Software Development Life Cycle)內,不同的安全開發模型,適用場景各有側重:SDL安全開發模型適用於系統軟體,如作業系統,編譯處理軟體,資料庫及管理系統,硬體控制系統等,具有綜合性,週期長,迭代慢等特點,其開發過程如同瀑布流程,一步一步地進行分析、預測、實現、測試、實施和支援階段;DevSecOps安全開發模型適用於應用軟體,如文字表格處理,圖形影象處理,統計演示軟體,網路通訊軟體等,具有周期短、迭代快、市場反饋靈活等特點,與傳統開發流程相比,能夠幫助企業更快的發展和改進產品,更好的服務其客戶,並在市場上高效的參與競爭。
開源網安肩負使命
開源網安一直以來秉承“捍衛中國軟體安全”的核心理念,致力於為中國軟體安全保駕護航,幫助企業提升軟體的安全與質量,持續向客戶提供覆蓋軟體安全開發全生命週期的安全產品、解決方案、安全培訓及安全服務。
其中開源網安軟體安全全生命週期平臺(S-SDLC)整合了安全開發流程、方法、工具,幫助企業快捷交付安全、可靠的軟體。平臺繼承開源網安龐大的威脅資料庫和安全需求庫,全面覆蓋軟體開發從架構設計到部署運維各個階段的安全需求。以打造安全的軟體產品為核心目標,基於差距分析和現有開發流程,著重構造安全開發能力,可定製化交付。
除此之外,開源網安還提供灰盒安全測試平臺(VulHunter)、開源元件安全及合規管理平臺(SourceCheck)、程式碼稽核平臺(CodeSec)、模糊測試平臺(SFuzz)、實時應用自我防護平臺(RASP)等多項產品,同時,基於各產品綜合特性,進行最佳化組合,提供DevSecOps平臺解決方案,為軟體安全保駕護航。
開源網安作為“軟體安全行業的創領者”,未來將不斷提升自身水準,緊跟國家政策,助力政府及企業保障軟體安全,為推動中國軟體產業實現高質量發展作出貢獻。