【51CTO.com原創稿件】日前，2019第二屆世界物聯網安全峰會在北京成功召開。本屆峰會以“亮劍安全，賦能物聯新時代”為主題，邀請了300多位物聯網行業專家、企業高層以及研究人員，共同分析未來物聯網安全的市場趨勢，并探討其未來發展方向。新思科技軟件質量與安全部門高級安全架構師楊國梁也受邀參會，并在大會現場帶來“Build Security In IOT”的主題演講。楊國梁指出，設計缺陷、安全漏洞和弱密碼等是造成物聯網威脅的主要因素，物聯網行業需要重視開源代碼的安全使用。“企業應該積極主動地去進行開源管理，從一開始就將安全內置在物聯網中。”

　　楊國梁的演講給物聯網安全帶來了新的解題思路，他呼吁人們重視起過去容易忽略的開源代碼安全，在現場贏得很多聽眾的認可和掌聲。會議間隙，51CTO記者采訪了楊國梁，請他分享新思科技在物聯網安全領域的思考與判斷。

[[267651]]

　　將安全內置到物聯網

　　記者了解到，新思科技成立于1986年，至今已有30多年歷史，自2014年起，新思科技收購了一系列做軟件安全的公司，開始針對企業級市場提供研發階段的安全測試服務。這其中既包括提供安全測試工具，開源組件的治理工具，也提供白盒、代碼審計、自動化之類的工具，還可以滿足客戶咨詢，提供滲透測試服務、托管測試服務，以及安全成熟度的評估等，總之都是為了一個共同的目標，就是幫助客戶更快更安全進行軟件創新。

　　之所以聚焦物聯網安全，是因為新思科技看到了物聯網潛在的龐大安全需求。楊國梁告訴記者，物聯網需要無數的軟件來支撐。但是開發人員往往更關注他們創建的軟件代碼，而忽略了使用的開源代碼，導致黑客有機可乘。不久前，黑客竊取了分析服務Picreel和開源項目Alpaca Forms的數據，并修改了它們的JavaScript文件，進而在超過4,600個網站上嵌入惡意代碼，這正是忽略開源代碼安全的典型例子。

　　“未修補的軟件漏洞是企業面臨的最大網絡威脅之一，軟件中未修補的開源組件會增加安全風險。”他告訴記者，在2018年審計的代碼庫中，有60%至少含有一個漏洞，雖然比例不低，但卻遠遠好于2017年的78%。

　　那么為什么會提出要“內置安全”這樣的理念呢?楊國梁解釋道，安全和性能其實在某種程度是博弈的狀態，在物聯網高速發展的大趨勢下，很少有廠商愿意為了安全在功能或性能上做讓步。但是傳統的安全防護工具如防火墻、入侵檢測，大多都是做邊界防護安全，并不能很好地適用于無邊界或者邊界日趨模糊的物聯網應用環境，所以最好的方法就是在產品研發階段，從寫源代碼開始，就做得足夠健壯，減少對外界防護工具的依賴。如此一來，既提升了安全防護水平，又不會犧牲產品性能，導致未來一旦遭遇安全威脅，只能亡羊補牢事后補救。

　　其實在開源代碼階段就介入安全還有一個好處。眾所周知，物聯網是一個非常龐大的領域，各行各業的產品形態都不盡相同，如果是生成產品后再部署安全解決方案，那么解決方案必須要匹配各個行業屬性，做定制開發。但是做開源代碼安全就不同了，它是從整個開發流程角度實現安全，無論是設備端的開發，還是后端的開發，無非總是遵循設計、研發、測試、發布這樣的一個流程，新思科技只要針對這些流程的每一個環節，提供自動化的測試工具，就可以實現高水準的安全質量，可以說是覆蓋所有行業安全需求，更易用更便捷更專業了。

　　同是代碼安全，新思科技出眾之處在哪?

　　其實國內做代碼安全的公司并不在少數，為什么新思科技的代碼安全更讓客戶放心呢?對此楊國梁總結了兩點。

　　首先，新思科技提供的是自動化的檢測工具，企業不需要去依賴于廠商某一個能力突出的專家，對廠商人員的依賴很小，代碼輸出質量是很穩定的，服務更值得信賴。

　　其次，從流程來看，很多提供代碼安全檢測的公司往往是在產品開發工作結束之后，才開始介入做代碼檢測和修復。一旦發現漏洞，就需要溯源查找研發各個環節，找到修復之后再做回歸測試，驗證流程再走一遍，檢測周期非常長。但是新思科技卻不同，他提供的是一個自動化工具，開發人員可以在任何時間任意模塊開發工作告一段落時來進行檢查，一旦發現有嚴重安全問題，就可以及時修正，時效性大大提升。

　　當談到目前國內客戶的接受程度時，他告訴記者，像高科技、物聯網、設備商、互聯網等行業市場的前沿客戶和第一梯隊的客戶接受程度非常高，大家基本都達成共識，從代碼開發這個源頭就開始注重安全防護能力。

　　采訪最后，針對峰會現場眾人都很關注的物聯網安全落地建設的關鍵，楊國梁強調，“重視”二字尤為重要。為什么人們駕駛汽車都會系上安全帶?就是因為人們意識到安全的重要性，物聯網安全領域也同樣如此，安全專業人員要意識到安全的重要性，引起足夠重視，否則僅僅考慮如何解決安全難題，也不會取得太顯著的效果。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】