从汽车到飞机，从医疗设备到工业控制系统，许多现代化产品都需要由软件驱动，安全问题已经成为制造商关注的重点问题。软件缺陷不仅会通过引入可被攻击者利用的漏洞影响安全性，还会通过影响产品的功能操作来影响安全性。此外，产品安全还会产生财务财务影响。例如，在开发中修复漏洞的成本比在测试中低10倍，比在生产中低100倍。这也说明为什么静态应用程序安全测试(SAST)已经成为产品安全性的基石，以及安全左移中在开发的早期阶段进行代码分析。与其他形式的应用程序安全测试(AST)不同，SAST扫描所有源代码，包括配置文件，而不仅仅是在运行时执行的代码。SAST还可以进行代码规范检测。软件质量和安全性是密不可分的，因为编写得不好的软件通常不安全。为了确保SAST工具更符合企业的业务需求，在评估SAST工具时，通常会考虑以下几点：1.多种语言支持语言的选择通常基于软件开发商的编程需求、消费者的需求以及与产品相关的硬件。例如，为航空航天等安全关键型应用开发软件所需的功能与用于构建 Web 应用程序的语言不同。支持多种语言代码检测，如C/C++、Java、C#、Python、PHP、JS、HTML等。2. 与多种开发环境集成开发环境平台通常包括编译器和调试工具以及各种操作系统文件和配置选项，因此确保 SAST 工具可以与所使用的开发环境集成。3. 较低的误报和漏报在DevOps中加入安全性，需要同时保证开发速度和安全性。过多的误报会将开发人员的注意力从完成软件创新开发转移到排查潜在缺陷上。太多误报容易导致开发人员对真正安全缺陷报告失去耐心，并较少关注真正的安全警报。4. 可集成在DevOps中软件开发生命周期使用广泛的工具集，提供自动化以帮助开发人员更快地将产品送到生产阶段。确保 SAST 工具支持并与不同的工具类别集成，包括协作和管理、源代码管理和存储库、IDE、编译器、编排和自动化等。5. 支持国产环境随着企业所使用的环境及软件逐渐国产化，对其安全性检测所使用的SAST 工具需要支持国产化环境。除了支持 Ubuntu、CentOS主流Linux环境部署，还需要支持中标麒麟、银河麒麟等国产操作系统。6. 开发人员友好的用户界面左移安全性通常通过将安全警告集成到开发工程师使用的集成开发环境 (IDE)中来实现。在现有 IDE 中工作的 SAST 工具可以减少呈现给测试人员的错误数量，从而减少大规模“返工”并确保在截至日期前完成任务。7. 支持多种标准许多企业需要使用(有些必须遵守)软件编码实践的标准，如CWE、OWASP、CERT、MISRA等，这些标准为提高软件系统的可靠性和安全性提供了框架。此外，公司可能需要满足国家规定的标准及编码安全标准，如GB/T 34943，GB/T 34944，GB/T 34946以及电子行业标准，SJ/T11682、SJ/T11683和组织特定标准等。 使用这些基本准则来评估 SAST 工具，将有助于所选择的产品满足组织的业务、技术、安全和安保要求。

近日，北京市科学技术委员会、中关村科技园区管理委员会公示了2023年第一批拟入库中小企业名单，北京中科天齐信息技术有限公司(简称中科天齐)入选。科技型中小企业是指依托一定数量的科技人员从事科学技术研究开发活动，取得自主知识产权并将其转化为高新技术产品或服务，从而实现可持续发展的中小企业。科技型中小企业技术含量高、创新能力强，是极具活力和潜力的创新主体，是强化企业创新主体地位的重要力量。为推动高质量发展、支撑现代化经济体系建设发挥重要的作用。北京中科天齐信息技术有限公司由中科院研究员李炼博士创立，以自主研究成果中科天齐软件源代码安全缺陷检测平台(WuKong)为主打产品，致力打造安全漏洞治理领域新生态的高新技术企业，拥有相关专利软著百余项。再次入库“科技型中小企业”名单，是对中科天齐科技创新和技术创新的充分肯定。未来，中科天齐将不断完善创新体系，增强自主创新研发能力，在满足客户专业需求的同时，不断注入创新力量促进企业高质量发展。中科天齐软件源代码安全缺陷检测平台(WuKong)中科天齐软件源代码安全缺陷检测平台(WuKong)是一款B/S 架构的国产信创静态软件安全测试工具，可应用于软件生命周期的各个阶段，包括：开发人员编码阶段、代码集成阶段、系统发布阶段和系统上线之后。WuKong采用自主专利技术的程序分析引擎，多种创新性的静态分析技术，结合深度学习和人工智能等多种方法，能够对软件代码进行全方位的安全扫描和安全分析，可检测代码运行时缺陷、安全漏洞及编码标准规范。WuKong具备优异的国产环境适配能力，兼容麒麟、鲲鹏等多种国产化环境。在检测语言上，支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言。 支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、国军标 GJB 8114-2013、5369，行业标准 SJT 11682、SJT 11683，国际规范CWE Top25、OWASP Top10等，可根据需求进行定制化处理。

3月9日，佛山知识产权转移转化联盟(下称“联盟”)正式成立。中科天齐董事长李炼博士受邀参加，并就软件安全相关研究及解决方案发表演讲。佛山知识产权转移转化联盟旨在为科创与产业搭建桥梁，聚焦专利技术高质量供给、摸清企业高精准需求、提供转移转化高水平服务。自去年7月筹备至正式成立，联盟首批成员90家，包括40家高校、8家科研院所、12家金融机构、9家知识产权服务机构、3家律师事务所、6家评估机构、9家综合服务平台、3家行业协会。此外还迎来中关村全景科技成果转化创新联盟团体加入，成员数量237家，集聚多所国家及省级研究院所。初步搭建起“科研机构+高校+投融资本+评估机构+服务机构”的架构。目前，联盟已初步搭建技术供需双向数据库，围绕企业需求较为集中的领域，已汇集高校科技成果近200项。北京中科天齐信息技术有限公司北京中科天齐信息技术有限公司由中国科学院计算技术研究所李炼研究员创立，以自主研究成果中科天齐软件源代码安全缺陷检测平台(WuKong)为主打产品，团队凭借多年在程序分析领域的技术积累，致力打造安全漏洞治理领域新生态的高新技术企业。 中科天齐软件源代码安全缺陷检测平台(WuKong)可以检测运行时缺陷、安全漏洞及编码标准规范。WuKong SAST工具采用第三代的路径聚合技术结合了深度软件分析方法和深度学习方法，是新一代国内自主可控的静态软件安全测试工具。目前已获国家信息安全漏洞库CNNVD兼容性认证及CWE国际兼容性认证。在国产适配上，兼容麒麟、鲲鹏等多种国产化环境。在核心技术上，已获专利软著近百余项。

开发人员和安全专家现在的任务是加强、扩展和调整云和 Kubernetes 安全性，以防止越来越复杂、不稳定和频繁的网络攻击。为了从一开始就阻止攻击并为应用程序和基础设施打好安全基础，DevSecOps(开发、安全和运营)已成为开发和运营实践的趋势。在 DevSecOps 模型中，安全性成为共同责任。因此，DevSecOps 需要转变思维方式，以实现开发、安全和运营团队之间的协作。这种安全左移，涉及文化、流程和工具。借助 DevSecOps，无论是测试安全漏洞还是构建可直接用于业务目的的安全服务，所有参与者的目标都是从一开始就在DevOps的持续集成和持续交付(CI/CD)工作流中将安全性构建到应用程序中。在过去，安全性问题通常在开发周期结束阶段由安全团队负责，并由QA团队进行测试。但对于如今形势下，日常生活已离不开软件，这也意味着需要企业找到提高应用程序开发、发布和更新频率的方法。同时，还要考虑到软件的安全性。因此，云计算、容器和微服务加速软件版本的开发和交付。采用敏捷和DevOps实践的开发人员可以将软件开发周期缩短到几天和几周，从而满足企业和用户的多样化需求。通过让安全性成为共同的任务，持续测试和集成正在成为常态。DevSecOps优势DevSecOps 在提高开发效率的同时，增加了更多的安全性。此外还可以获得显著的业务优势，包括：效率——在DevSecOps实践中，安全被集成到开发的所有阶段，以帮助所有团队更敏捷地应对安全风险，消除了团队在生产周期中花费大量时间调整和修复的需要。降低成本——通过在进入生产前发现安全漏洞，可以显著减少修复的时间和人力成本。确保合规性——DevSecOps 可以确保符合行业标准法规，静态应用程序安全测试工具可以在检测安全缺陷的同时，检查代码规范，以确保符合编码标准或行业标准。建立协作文化——将安全实践集成到DevOps中可以提高DevOps的价值，并改善整体安全态势，成为一种共担责任的文化。当每个人都参与该过程时，它会提高他们对安全基础知识和最佳实践的认识，并提高对结果的主人翁意识。

DevOps，结合了软件开发 (Dev) 和运营 (Ops) 的方法论。它是一种文化意识，通过拥抱敏捷开发的价值和原则，使软件稳定地、快速地、有效地创建、测试和发布。以下是对未来一年将会带来的6项预测。1. 企业 DevOps 将打破核心系统的孤岛DevOps 实践将继续扩展到云和分布式系统之外，包括比以往更多的核心系统。核心平台(包括大型机)是推动世界经济的关键任务应用程序的功能支柱。在最近的 IDC 调查中，82% 的组织表示已采取措施，在分布式和大型机团队中优先使用相同的应用程序开发工具。2023 年将继续看到企业 DevOps 的增加，这将消除平台之间的孤岛。随着核心系统工作负载的增加，组织将看到调整平台(如大型机和分布式平台)的好处，以实现其DevOps计划的优势。2. AI/ML 的增长成为衡量 DevOps 性能指标的关键组件随着组织强调使用关键绩效指标 (KPI) 数据来衡量 DevOps 管道的性能和成熟度，分析的价值将会增加。通过这种方式，组织不仅可以更深入地了解其管道，还可以主动实时管理数据。他们将能够根据需要调整负载，并创建具有高级错误处理功能的智能管道。3. 跨功能管道将创建混合自动化的一切这将使云、核心系统和数据能够提供更全面的“平台、流程和人员”视图。孤岛最终将消失。自动化将成为这项工作的关键优先事项，因为组织寻求为开发人员腾出时间来创新并实现更高的速度、质量和效率。将出现一个集成和连接的管道，在单个流中自动创建和测试应用程序。优先考虑分布式系统和核心系统之间的一致性有利于重用最佳实践、简化工作流程、成本效益、应用程序集成和简化培训。4. DevSecOps 将发挥越来越重要的作用安全性是工具链的核心部分，在管道中也是优先考虑的因素之一。静态应用程序安全测试(SAST)，也称为白盒测试，以及动态应用程序安全测试(DAST)，也称为黑盒测试，将进一步集成到流程中，使安全团队能够快速有效地扫描静态或实时负载。5. 以 Git 为中心的企业源代码管理战略将得到发展 IDC最近对11个国家和多个行业的专业人士进行了一项调查，87%的人表示他们将在未来三年内将全部或部分大型机源代码迁移到Git。这意味着Git和Git原生开发将成为大型机DevOps公司支持的重要功能。组织将越来越倾向在范围和速度上提供灵活性的实施方法和工具。

网络攻击者不断更新其攻击技术来破坏公司系统，获取关键数据和信息。代码漏洞是一个很好的入侵途径，通常一小段代码实现非常简单的任务，但却可能是严重问题的根源(例如，日志记录、报告服务和应用程序的链接部分)。事实上，只需要一次利用、漏洞或人为错误就会导致数据泄露，平均损失435万美元。一些专家预计，到2025年，这些违规行为可能会造成总计10.5万亿美元的损失。因此，企业需要思考如果有人进入他们的系统利用代码会发生什么，这对他们的公司意味着什么。企业面临的问题在传统的开发实践中，安全性检测一般会在上线之前进行。在将应用程序发布到生产环境之前执行安全测试，如果发现问题再进行修复并延迟上线。DevSecOps将安全性整合到软件开发生命周期(SDLC)的每个步骤中，从需求到架构和设计、编码、测试、发布和部署。通过将安全实践自动化并集成到软件开发生命周期中，开发团队可以更快地对漏洞做出反应，自动执行安全检查，并以更可靠和安全的产品进入生产环境。DevSecOps的优势和最佳实践在开发周期的早期简化 SDLC 并在流程中包括安全检查(通常是自动化的)，可以在问题对开发和业务产生负面影响之前识别问题。在开发周期的早期修复漏洞比在生产之前发现的漏洞代价要低一个数量级。DevSecOps在采用敏捷实践以快速实现持续集成、部署和可伸缩性的组织中工作可以发挥很好的作用。简化和自动化这些实践的道路可能很长，但有效应用DevSecOps最佳实践可以减少公司的成本。为了使DevSecOps有效，在收集需求和规划架构时，安全性必须占有一席之地。这种工作实践的集成确保了早期识别风险，并且可以在应用程序投入生产之前很好地缓解风险。克服DevSecOps的挑战在实现DevSecOps时存在许多困难。以下是其中的两个：1. 文化转变：采用DevSecOps方法进行领导需要在组织内部进行巨大的文化转变，这对当今许多部门的运作方式构成了挑战。许多员工可能会发现很难彻底改变他们多年来一直在做的事情。另一个障碍是认为更加关注安全性会减缓进程并限制创新。开发人员想要快速编写代码完成进度，而安全团队则专注于确保代码的安全性。2. 复杂的工具集成：大多数DevOps工具链是由不同的供应商生产的。团队根据他们独特的需求选择源代码管理、持续集成/交付(CI/CD)、构建工具、二进制库、代码评审和问题监控解决方案。将安全工具添加到管道中可能会为确保两个团队的最佳结果带来挑战。开发管道中的安全测试通常会涉及到软件组合分析(SCA)、静态应用程序安全测试(SAST)和某种形式的动态测试的工具等。集成到这些工具的管道中是非常重要的，但也带来了一些复杂性。开发人员需要知道扫描的目的，以及如何处理他们发现的问题。重要的是，开发人员要准确地了解问题产生的位置以及问题的含义。但是，组合比较多供应商资源的结果和数据可能具有挑战性。克服这些障碍需要一定的时间。一旦DevSecOps方法被接受并在整个公司内完全实现，可以预见开发的代码缺陷和安全风险更少。部署代码的成本最终也会降低，并提高组织投资回报。总的来说，在这一过程中创建的系统将更加灵活，能够适应现代威胁和数字化转型中的变化。

软件的安全性取决于系统中生产和交付工作代码的最薄弱环节。当前，软件生态系统日益复杂。什么是软件供应链安全?软件供应链安全是指管理开发和运行现代软件应用程序所需的流程、组件和工具中产生的安全风险。网络攻击者可以通过供应链获取关键信息，也可以在供应链内进行恶意活动。如今，开发者将他们的应用程序构建为微服务的集合，通常使用开源组件来提供所需的功能，并加快软件发布速度。然后，这些应用程序被部署在虚拟化的基础设施上，比如托管在云中的容器。软件供应链漏洞的后果软件供应链漏洞有可能影响成千上万的组织，这些组织依赖于在其软件生态系统中发挥作用的易受攻击组件。这些风险包括加密敏感数据的大规模勒索软件攻击等。当供应链漏洞仅影响单个组织时，恶意软件、后门或其他恶意代码会进入软件环境。糟糕的情况下，关键系统下线，客户损失资金，敏感数据丢失导致监管处罚等。10大常见软件供应链安全风险因素1. 代码中的漏洞重要的是不要忘记，供应链的定义包括开发人员为构建应用程序而编写的代码。代码作为软件供应链中最基础的部分，在开发软件期间可以通过静态测试查找代码中的缺陷及安全漏洞，从源头提高应用软件的安全性。2. 第三方依赖第三方供应商、合作伙伴和服务提供商都在现代软件生态系统中发挥着重要作用。无论是通过在云实例上运行应用程序，购买商业库/框架，还是使用服务来简化软件可用性，这些依赖关系都会使企业代码面临可能的风险源。第三方风险管理规则对于全面了解依赖项(包括特定第三方对代码的访问权限)至关重要。3. 应用市场除了代码存储库之外，各种面向公众的应用市场还可以轻松下载新版本的应用程序和服务。黑客可能会破坏这些系统并安装后门，从而进入软件环境。4. 公共存储库据估计，自由和开源代码占现代软件的70-90%。公共存储库将各种开源项目的代码提供给互联网上的每个人，但它们也带来了重大的软件供应链风险。5. 构建系统现代软件开发工作流程使用持续集成和持续交付来实现自动化并提高效率。CI/CD管道的核心是代码储存库、容器和构建服务器，这些都有可能遭到入侵。常见的构建工具包括Buddy，Jenkins和Bitbucket。6. 劫持更新近年来，被劫持的更新在有关网络安全的新闻报道中屡见不鲜。当代码及其基础结构依赖于有时需要更新的其他工具时，这些被劫持的更新会带来软件供应链风险。这里的重点不是避免应用软件更新;更重要的是认识到这种风险，并对那些工具和应用程序在软件供应链中发挥作用的供应商进行尽职调查。7. 破坏代码签名只使用签名代码是一种不错的安全实践，因为它使用数字签名来确认代码的真实性。但代码签名的有效性取决于它的实现。代码签名可能会被窃取的数字证书私钥或使用过期/撤销的证书所破坏。虽然可以采取缓解措施(保护硬件安全模块中的私钥，验证证书)，但要注意易受攻击的代码即使经过签名也仍然是易受攻击的。8. 获取整个供应链中的资源对整个供应链资源的过度访问通常会使软件安全事件更加严重。开发人员工具、存储库、云系统和软件开发中涉及的其他工具都应该严格控制其访问权限。理想情况下，在整个供应链中实现最小权限原则，以确保每个组件和人员仅拥有软件正常运行所需的必要访问权限。9. 连接的设备终端笔记本电脑和工作站等连接设备也涉及软件供应链。安全加固是加强连接设备和代码抵御常见危害的复原能力的关键方法。有效的防御措施包括加密、数据丢失保护、高级端点检测和响应以及标准的防病毒扫描程序。10. 供应商和业务合作伙伴供应商和业务合作伙伴是软件供应链风险的来源，因为他们会提供企业所使用或协作的应用程序服务。为了降低这些风险，从源代码开始，检测依赖关系的安全性，同时不要进行第三方风险评估和验证。为了防止出现代价高昂的安全事件，软件供应链安全需要一种全面的方法来解决链中所有可能的薄弱环节，从开发人员编写的代码到企业所使用的工具以及合作的第三方软件供应商，都应该谨慎审查其安全性，并做好应急预案，同时开发人员不能忽视他们在加强软件安全性方面的作用。关键词：软件供应链安全 代码安全 安全漏洞 第三方软件安全

在当今的数字世界中，安全性始终是是公司首要考虑的任务之一。虽然在尽可能降低成本的环境下，在安全上花费更多似乎有悖常理，但需要注意的是，应用程序中存在的安全隐患带来的风险更让人痛苦。根据埃森哲的数据，网络攻击在2020年至2021年间增长了31%。在经济低迷时期，公司更加注重创造收入，并在这一方面分配更多的员工和资源。这也就意味着，安全性将会处于被延缓的一方。这种优先级降低为网络犯罪分子利用应用程序中的缺陷或漏洞创造了机会之窗。应用程序安全性不容置疑在任何情况下，存在安全漏洞或缺陷的应用程序都可能被网络犯罪分子破坏，这对声誉和收入都有巨大的潜在损害。无论如何，公司应该同样重视应用程序安全相关的活动和创收业务。这些活动包括:安全测试：安全测试包括静态应用程序安全测试，动态应用程序安全测试及交互式应用程序安全测试等。及时高效的安全测试能在软件开发期间修复安全缺陷，提高应用程序安全性。渗透测试发现更多可利用的漏洞或缺陷，有利于提前做好修复及防护。风险评估：在开发或迭代应用程序时，通常有公司创建的自定义特性和功能，也有通过第三方集成的特性和功能。与安全测试和渗透测试一样，公司定期进行风险评估，其中包括与他们合作或集成的任何第三方。这些第三方固有的漏洞也有可能成为其业务的问题。隐私保护：应用程序，尤其是那些面向作为最终用户的消费者的应用程序，特别容易受到网络攻击，公司需要实施确保用户信息安全和加密的流程和协议。关键词：应用程序安全 安全测试 静态应用安全测试 网络安全

随着公司更快地迭代创新，软件开发质量和应用程序安全性已成为关注的重点。开发、安全和运营团队(或 DevSecOps 团队)需要确保其程序与当代云环境兼容，以便在软件开发周期(SDLC)期间实现速度和质量之间的平衡。到 2022 年，由于多项技术进步，DevSecOps 方法可能会更普及。DevSecOps将支持团队将安全性和合规性纳入工作流程，同时不会降低团队创造力或因为时间紧迫而增加额外的工作量。DevSecOps 技术趋势基础设施即代码的广泛使用(IaC)IaC 不使用硬件，而是编纂和管理 IT 基础结构。 开发人员和运营团队可以使用软件代码自动管理、监控和部署 IT 资源，从而脱离手动配置设备。到 2023 年，60%的企业将使用基础设施自动化技术作为DevOps工具链的组成部分，使应用程序部署的有效性提高25%。来自第三方不安全代码的攻击增加随着网络攻击变得越来越频繁，组织可能会通过将外部代码或代码库集成到其软件中而暴露缺陷。因此，从安全角度来看，企业需要仔细评估第三方代码的缺陷，包括漏洞和bug。GitOps 采用通过使用开源版本控制系统Git, GitOps为管理基础设施和应用程序配置提供了一个过程框架。Git是唯一可靠的信息来源，也是动态添加、修改和删除系统设计的主要控制机制。GitOps 确保了基础设施即代码。Kubernetes 基础设施Kubernetes统筹容器的部署、可扩展性和管理。采用Kubernetes可以显著提高效率，使DevSecOps管道更容易创建、测试和部署。无服务器体系结构无服务器计算使企业能够根据需要使用资源。企业可以通过提供云提供商对其基础设施的控制来按需扩大规模，仅对组织使用的资源收费。无服务器计算增强了灾难恢复和 IT 系统的弹性，因为云提供商托管了基础架构。微服务应用开发通过将服务分解为模块化组件，组织可以从更灵活、增量的开发中获益，以满足业务单元的需求。微服务还使开发人员能够在不影响整个应用程序的情况下解决问题。由于这种类型的模块化应用程序开发，DevSecOps团队可以保持其灵活性和敏捷性，同时关注其代码的安全性和质量。DevSecOps的市场数据在2017年至2023年期间，全球DevSecOps市场预计将以33.7%的复合年增长率增长。根据预测，DevSecOps市场将从2022年到2030年以30.76%的复合年增长率增长，达到46.6亿美元。DevOps 团队执行的安全扫描比以往任何时候都多：超过一半的团队执行 SAST( 静态应用安全测试)扫描，44% 执行 DAST(动态应用安全测试) 扫描，近50%检查容器和依赖项。据70%的安全人员称，安全已经“左移”。 DevSecOps 通过将所需的安全性集成到 CI/CD 管道中，确保在整个开发过程中实施安全控制。