杨国梁,毕业于瑞典皇家理工学院,获得硕士学位。曾在科诺康 (Codenomicon)出任安全工程师,帮助客户发现和修复其基于软件的产品和系统的关键安全漏洞。他专注于电信、工业控制系统、汽车、医疗器械及物联网等领域。2015年6月,美国新思科技 (Synopsys) 收购科诺康,杨国梁便加入了新思科技软件质量与安全部(Software Integrity Group)。他现在带领新思科技中国安全技术团队,帮助客户在软件开发生命周期及供应链方面建立更完善的安全和质量体系。
2017年4月,美国新思科技(以下称新思科技)宣布与全球领先的视频监控解决方案供应商大华股份合作,以加强大华股份物联网设备和解决方案的安全性。通过应用新思科技提供的全面解决方案和组合性服务,大华股份在软件开发生命周期(SDLC)和供应链方面进一步强化产品,建立具有更高安全性能的质量体系。
新思科技高级安全构架师杨国梁介绍到,“新思科技为大华股份提供SAST/DAST/SCA解决方案(静态应用安全测试/动态应用安全测试/软件组件分析),测试大华股份用在物联网设备的代码库和网络协议。新思科技还为大华股份管理开源软件和第三方软件组件。此外,新思科技通过软件安全成熟度模型(BSIMM)为大华股份进行安全评估。大华股份可以有效地为物联网设备开发更安全的软件。BSIMM是一个全面的软件安全评估参考基准,为当前软件安全计划提供客观的、以数据为导向的建议。依托于BSIMM,大华股份可以建立自己的软件安全计划的测量基准,并指导其不断提高产品的质量和安全性。”
记者:随着物联网技术的不断发展,中国很多城市已经在加快部署智慧城市建设,新思科技如何评价中国智慧城市的发展?
杨国梁:2017年初,腾讯的一项报告显示,北京是中国“最智慧”城市,尤其是无现金支付的实施,包括移动支付和相关的技术。市民在日常生活中通过移动支付购买商品,甚至是支付汽车订金。无现金支付成为构建智慧城市的具有实际意义的一步。
由此可见,作为世界上发展最快的经济体之一,中国正展开多元化的“智慧城市”计划。尽管还没有普遍适用的建设智慧城市的最佳模式,但是物联网(IoT)技术的发展毋庸置疑成为“智慧城市”构建的重要推动力,中国正在大力推进物联网发展。
尽管物联网设备和科技正在变得小巧、快速、优质和实惠,但仍然存在着根本的挑战,即确保这些设备和相关平台的安全性。在物联网时代里,越发依赖由软件支持的关键基础设施和安全关键系统,因此,确保软件的质量和安全变得愈加重要。
记者:智慧城市建设与运行中存在安全隐患。新思科技在智慧城市物联网安全领域能够提供哪些解决方案?优势在哪里?
杨国梁:物联网设备在全球大规模部署,但其中有很多设备缺乏像智能手机或者电脑一样的互联和数据储存功能,制造商更不可能完全掌握这些设备的部署情况,进而带来两方面的隐患:首先,如果存在已知漏洞,共享同样软件或版本的所有设备都可能容易受到黑客攻击,而且很多是无法更新补丁的;再者,即使制造商有可修补物联网设备的补丁,也很难确保落实到每个设备。新思科技所倡导的有效方法就是在包括嵌入式系统和物联网在内的软件开发生命周期纳入质量和安全的管理。
在产品推出市场之前发现和解决掉尽可能多的问题和漏洞是必要且有效的。新思科技已经被批准成为ISASecure控制系统认证项目的CRT(通信健壮性)测试工具,成为整个产品评估流程的一部分。
在软件开发生命周期的每个节点都能提供完善的解决方案:
安全培训 为软件开发机构中的每个角色提供安全知识培训,以帮助他们提升必要的技能,创建和维护安全、高质量的软件;
需求与设计 新思科技通过架构风险分析、威胁建模等方式帮助确定安全需求,并进行安全风险评估;
实施 新思科技在实施过程中提供最佳的工具。比如Coverity可以帮助发现开发人员容易忽略的、隐藏的、具有破环性的软件缺陷,比如越界访问。另一款工具是Protecode E5,软件组件分析工具,用于扫描开源软件代码库,发现许可证合规性问题和已知漏洞;
验证 新思科技在此阶段进行动态分析。例如,模糊测试(Fuzz) 工具Defensics以扫描设备软件中的异常,发现只有在设备实际运行时才能发现的潜在错误。通过二进制软件组件分析工具Protecode SC,即使无法访问其源代码,用户也可以扫描供应商的应用程序的漏洞;
发布 在产品正式发布之前,新思科技可以从第三方角度提供精密的渗透测试,指导用户利用在需求与设计阶段发现的风险分析结果,进行有效的渗透测试。在产品发布之后,新思科技还会帮助用户制定事件响应计划,以减轻安全事故的影响。
记者:智慧城市建设不断推进,将为新思科技这样的企业带来什么样的机遇?
杨国梁:新思科技提供从芯片到软件(silicon to software)的全套解决方案,帮助客户构建颇具弹性和可靠性的硬件和软件。新思科技同时可以为监管机构提供信息,助力培育和设立行业标准,并帮助提高公众和行业对软件安全重要性的认识。
新思科技将继续加强与包括产品安全认证机构UL在内的行业权威组织持续紧密合作,以确保用户可以购买和部署获得认证的、安全的物联网设备,为用户提供全面的产品和服务,将安全和质量整合到应用于物联网/嵌入式设备的SDLC和供应链中。
记者:新思科技如何看待智慧城市发展/物联网安全的发展趋势?
杨国梁:智慧城市往往是国家或当地政府部门领导的大型项目,供应链各个环节都有诸多的参与方。每一个环节都要保证安全性,要确保每一家供应商都是可靠的。因此,在整个供应链,包括软件、组件供应商等,制定一个标准化的安全软件开发规则是有必要的。
物联网设备对智慧国家或城市的建设至关重要,其中有很多设备都是基于常见的开源组件构建的,因此要确保这些嵌入组件的安全性和合法合规性任务艰巨。虽然有一些物联网设备不容易修补或升级(采用了硬编码),但其它一些物联网设备在未来有望可以进行操作系统、软件及硬件的升级。这意味着整个行业都需要高效的测试工具,包括模糊测试、软件组件分析、供应链管理以及BSIMM。
《中国自动识别技术》2017年第5期总第68期
京公网安备 11010102005580号
