近日,国家市场监督管理总局、国家标准化管理委员会发布了中华人民共和国国家标准公告(2020年第8号),其中包括全国信息安全标准化技术委员会归口的26项国家标准。 其中由国家计算机网络应急技术处理协调中心(CNCERT)牵头,奇安信代码卫士团队参与起草的《信息安全技术 应用软件安全编程指南》(简称:《指南》)正式获批通过,目前奇安信代码卫士产品已全面支持国家标准的合规检测。
近年来,针对政府、公司、教育机构以及个人软件系统的攻击层出不穷,已经导致了敏感信息泄露、系统受损、财产损失甚至人身安全危害等严重问题。如何减少软件中的安全漏洞、提升软件抵御攻击的能力,成为亟待解决的问题。专家认为,只有制定完善的安全编程规范,才能对安全编程提供指导,从源头上降低软件的安全风险。
然而,国内的相关标准研制工作起步较晚,过去一直没有针对应用软件安全开发的通用标准。基于这种情况,由TC260(全国信息安全标准化技术委员会)归口上报及执行的《信息安全技术 应用软件安全编程指南》应运而生。据介绍,该标准旨在要求应用软件开发者在开发过程中注意和提升软件安全性,减少潜在的安全隐患,降低软件的安全风险。
《指南》从程序安全和环境安全两个方面,定义独立于编程语言的应用软件的安全编程通用规范。其中,程序安全部分定义有关资源使用、代码实现、安全功能等方面的安全编程规范,环境安全部分定义应用软件的安全管理配置规范。目前该标准已经获批通过,而且奇安信代码卫士已全面支持合规检测。
奇安信安全专家指出,代码是软件的原始形态,软件代码是构建应用系统的基础组件,软件代码中安全漏洞和未声明功能(后门)的存在是安全事件频繁发生的根源。忽视软件代码自身的安全性,仅仅依靠外围的防护、问题产生后的修补等方法,舍本逐末,必然事倍功半。因此,只有通过管理和技术手段保障了软件代码自身的安全性,用标准来规范和指导安全编程,才是解决当前安全问题的根本解决之道。
据悉,奇安信代码卫士团队是奇安信集团旗下,专注于软件源代码安全分析技术、二进制漏洞挖掘技术研究与产品开发的团队。团队推出的奇安信代码卫士支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的源代码安全分析,涵盖C、C++、Objective-C、C#、Java、Java(Android)、JavaScript、PHP、Swift、Go、Python、Cobol、TSQL、PL/SQL、JSP、ASPX、Node.js、Vue.js、React.js、HTML、XML等多种编程语言,可检测1300多种源代码安全缺陷。同时,奇安信代码卫士还支持国标“应用软件安全编程指南”、国军标GJB 8114-2013、国军标 GJB 5369-2005、通讯行业标准“联网软件安全编程规范”等相关规范或标准的合规检测。