对话新思科技杨国梁：应用软件安全可能比数据安全更值得重视

极客网·极客访谈6月15日，当前，在全球都在大力发展互联网经济、数字经济的背景下，网络安全快速成为了最热门也最令人头痛的话题。而在愈发凸显的“软件定义世界”、“数据驱动未来”等发展趋势下，应用软件和跑在上面的数据的安全更显得尤为重要起来。

日前，在发布其静态代码分析工具最新版本——Coverity 201806的媒体沟通会上，美国新思科技公司 (Synopsys, Nasdaq: SNPS)软件质量与安全部门的高级安全架构师杨国梁告诉极客网，“现在似乎大家谈得较多的是数据安全，但数据不安全其实是一种结果，它的原因在于处理这些数据的应用软件写得不健壮、里面有问题，存在被黑客利用而导致数据被窃取。“

言下之意，比起已经引发高度共识的数据安全，杨国梁认为应用软件的安全也值得业界警醒和重视。他表示，“Coverity专注的代码层面的安全检测，就是为了从源头上尽量规避、解决这类问题，把风险问题扼杀在to B阶段，而不是等到to C推向市场时才发现。”

杨国梁提到Coverity静态代码分析工具，是新思科技软件质量与安全部门的主打产品之一，该工具致力于为企业的软件开发提供在整个SDLC（软件开发生命周期）过程中检测和修复缺陷所需要的东西，从而消除风险、防患未然。Coverity在其专业领域享有高认可度，已被权威市场调研机构Gartner 和Forrester几度评为“静态应用安全测试领导者”。

杨国梁解释称，Coverity可以迅速分析超过一亿行的大型代码库，在出现漏洞、系统崩溃之前就检测出潜在危险，可以大幅减少维修花销，帮助企业降低成本和风险。迄今，Coverity已经帮助上千家企业防患于未然，推动他们更快地将产品投入市场。

杨国梁告诉极客网，网络安全是一个快速变化的动态市场，客户需求日新月异，为了帮助用户更有效地应对挑战，Coverity每年都会进行两次重大升级，以及一些小修小补升级。Coverity 201806是该工具的最新版本，目前已在中国与全球同步更新发布，主要带来四个方面的升级：

第一，Coverity 201806关联了在线学习平台e-learning，方便研发人员参加相关培训课程，丰富工作所需知识。

第二，Coverity 201806增强了Spectre（幽灵） 安全漏洞检查功能，识别易受幽灵攻击的应用程序代码模式；

第三，Coverity 201806新增或更新了对行业标准的支持，包括Cert C++ 2016、MISRA C 2012 TC1:2017和OWASP Top 10 2017；

第四，新增或更新了对编码语言和框架的支持，更精准地识别Python、Java和Swift中漏洞。

其中，最让极客网印象深刻的是第一点，如果说其他三点还是“常规”完善，那么Coverity与e-learning的关联则算得上重大更新。据杨国梁介绍，新思科技的eLearning平台是一种以结果为导向、以学习者为中心的培训解决方案，其包含37种课程，广泛覆盖应用安全领域话题，比如风险分析、认证、安全标准、面向网络和移动应用的防御性编程、威胁建模和安全测试策略等等。

在他看来，这一关联至少带来两大好处：其一，能够根据常见缺陷列表（CWEs，安全漏洞词典）为开发人员提供上下文相关的应用安全课程；其二，基于最高置信水平算法，专有漏洞分析工具可以将检测出来的漏洞与常见缺陷列表进行匹配，进而推荐相关的学习内容。套用时髦话术，极客网认为这有点智能推荐、精准匹配的意思，再往后发展就是深度学习、人工智能，不排除发展到某一天实现更高效、直接的问题解决方案——比如说直接呈现可供选择的参考答案或解决思路。

面向未来，新思科技的Coverity工具究竟会不会进化到深度学习后自动解决问题的阶段呢？工程师的严谨让杨国梁对此“讳莫如深”，但透露新思科技近几年的总体研发支出水平占到公司营收的30%，未来将持续投入技术创新，应对日趋复杂的网络安全环境，护航企业应用软件的安全之旅。

生成海报

免责声明：本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时，应及时向本网站提出书面权利通知或不实情况说明，并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后，将会依法尽快联系相关文章源头核实，沟通删除相关内容或断开相关链接。