近日,國家市場監督管理總局、國家標準化管理委員會發布了中華人民共和國國家標準公告(2020年第8號),其中包括全國信息安全標準化技術委員會歸口的26項國家標準。
由國家計算機網絡應急技術處理協調中心(CNCERT)牽頭,奇安信代碼衛士團隊參與起草的《信息安全技術 應用軟件安全編程指南》(簡稱:《指南》)正式獲批通過,目前奇安信代碼衛士產品已全面支持國家標準的合規檢測。
近年來,針對政府、公司、教育機構以及個人軟件系統的攻擊層出不窮,已經導致了敏感信息泄露、系統受損、財產損失甚至人身安全危害等嚴重問題。如何減少軟件中的安全漏洞、提升軟件抵御攻擊的能力,成為亟待解決的問題。專家認為,只有制定完善的安全編程規范,才能對安全編程提供指導,從源頭上降低軟件的安全風險。
然而,國內的相關標準研制工作起步較晚,過去一直沒有針對應用軟件安全開發的通用標準。基于這種情況,由TC260(全國信息安全標準化技術委員會)歸口上報及執行的《信息安全技術 應用軟件安全編程指南》應運而生。據介紹,該標準旨在要求應用軟件開發者在開發過程中注意和提升軟件安全性,減少潛在的安全隱患,降低軟件的安全風險。
《指南》從程序安全和環境安全兩個方面,定義獨立于編程語言的應用軟件的安全編程通用規范。其中,程序安全部分定義有關資源使用、代碼實現、安全功能等方面的安全編程規范,環境安全部分定義應用軟件的安全管理配置規范。目前該標準已經獲批通過,而且奇安信代碼衛士已全面支持合規檢測。
奇安信安全專家指出,代碼是軟件的原始形態,軟件代碼是構建應用系統的基礎組件,軟件代碼中安全漏洞和未聲明功能(后門)的存在是安全事件頻繁發生的根源。
忽視軟件代碼自身的安全性,僅僅依靠外圍的防護、問題產生后的修補等方法,舍本逐末,必然事倍功半。因此,只有通過管理和技術手段保障了軟件代碼自身的安全性,用標準來規范和指導安全編程,才是解決當前安全問題的根本解決之道。
據悉,奇安信代碼衛士團隊是奇安信集團旗下,專注于軟件源代碼安全分析技術、二進制漏洞挖掘技術研究與產品開發的團隊。
團隊推出的奇安信代碼衛士支持Windows、Linux、Android、Apple iOS、IBM AIX等平臺上的源代碼安全分析,涵蓋C、C++、Objective-C、C#、Java、Java(Android)、JavaScript、PHP、Swift、Go、Python、Cobol、TSQL、PL/SQL、JSP、ASPX、Node.js、Vue.js、React.js、HTML、XML等多種編程語言,可檢測1300多種源代碼安全缺陷。
同時,奇安信代碼衛士還支持國標“應用軟件安全編程指南”、國軍標GJB 8114-2013、國軍標 GJB 5369-2005、通訊行業標準“聯網軟件安全編程規范”等相關規范或標準的合規檢測。
企業:奇安信集團
