2017第五届中国网络安全大会在北京国家会议中心盛大举行,北京骏一孵化器入驻企业思客云作为创新型安全厂商受邀出席此次会议,全力诠释了”让开发者爱上安全测试”这一重要软件源代码安全测试理念,受到广大专家学者的一致好评。其中著名的中国工程院院士倪光南先生亲临指导并给予高度的肯定。
第五届中国网络安全大会是在国家相关部委的指导下,由赛可达实验室联合国内外众多具有影响力的行业协会、机构等单位共同主办的综合性行业会议,大会以“全球化的网络安全”为永久主题,旨在引入并借鉴国际信息安全领域最前沿的防护理念与技术成果,洞悉交流全球信息安全最新发展趋势,聚焦探讨信息安全技术与应用热点话题,与国际安全创新防护理念同步,从而推动我国网络安全保障体系建设,提升国家重点行业网络安全防护水平。
思客云在此次大会上全力诠释“让开发者爱上安全测试”的源代码安全测试理念,让开发与安全不再对抗,而是携手并行,共同清除代码中的安全隐患。
一直一来,软件源代码安全问题总是横在开发人员与安全人员中间的一个鸿沟,不能很好地沟通。这是因为,开发人员总是会因为开发任务繁重,上线时间紧而无法重视源代码中的安全漏洞;而安全人员因为不能及时地获取代码,并有效地理解代码的逻辑关系或者看不懂代码而无法进行代码安全测试工作。同时,开发人员和安全人员会因为角色和工作性质的不同,而产生相互推诿,相互对抗,甚至相互指责问题。这都会最终导致根本无法顺利开展代码安全测试工作。思客云的高级安全咨询师正是认识到这一点,深入地分析和梳理问题,并不断地总结用户的经验,最终提出了“让开发者爱上安全测试”的测试理念,并以多年为用户服务而总结出的“Gate+”测试模式为最佳实践。在用户企业的开发、安全、测试和管理等多个部分之间,形成“一个基础,一个中心,两个基本点”的完整的软件源代码发测试管理体系。让“让开发者爱上安全测试”真正落地,“让源代码安全测试流利起来”成为可能。
在大会展览过程中,思客云作为创新型安全企业代表接受倪光南院士的亲临指导。倪院士与思客云负责人做了简单的交谈,并给给予思客云充分的肯定。交谈内容大致有:
倪:“你们找八哥是怎么找软件的安全漏洞的?”
思:“我们找八哥系统是对软件源代码进行白盒扫描,结合内置的1000多种的安全漏洞类型,上万条规则进行系统性分析,从源代码层面找出安全问题的。”
倪:“属于白盒测试?”
思:“对”
倪:“支持哪些语言?”
思:“目前可以支持主流的十几种开发语言。如JAVA、C、C++、DotNet 、 PHP、ASP、 Adriod_Java、 Objective_C等等。基本上可以覆盖常用的所有开发语言了。”
倪:“哦,那对于安全漏洞,检测的全面吗? 准确吗?”
思: “检测还是很全面的,我们不但支持像CWE这样的国际漏洞标准 ——还可以支持对开发人员一些编码习惯上的检测,可以在开发过程中全面检测代码中的安全、质量、性能等问题。 关于准确性方面,我们可以根据用户的特点进行自定义,所以还是很准确的。”
倪:“好好好,那你们找八哥是自己做的?还是别人的东西?”
思:“是我们自己完全自主研发的,属于国产、自主可控的产品。 ”
倪:“嗯, 你们做得很好呀,这个代码安全方面不好做,你们能够自己自主研发出来这样的产品是很不错的。希望你们可以继续努力,加油吧!”
经过简单的交谈后,倪院士和思客云的负责人交换了名片, 并表示后期可以深入地交流与合作。
