鑒釋陳新中：源代碼安全在物聯網時代的重要性

隨著5G時代的步步走近，互聯網正加速向物聯網升級，從路由器、語音信箱到智能家電、工業設備，越來越多的物體物品通過互聯網資料更加緊密地聯結，但隨即而來的就是資訊安全問題，其中代碼缺陷問題使得軟體系統安全更加脆弱，就在今年6月，有研究人員發現戴爾預裝的SupportAssist組件存在DLL劫持漏洞，全球超過1億臺設備面臨網路攻擊風險，也正因如此，代碼缺陷分析的必要性愈加凸顯，

本期我們采訪到了鑒釋聯合創始人兼首席技術官陳新中，邀請他就物聯網時代的軟體安全狀況及如何通過靜態分析提高源代碼的安全與質量等問題展開分享，據了解，鑒釋成立于2018年，其命名源于圣劍傳奇“EXCALIBUR”，它是力量和目標的象征，鑒釋通過使用高級靜態分析技術幫助客戶降低成本，提高生產力，并確保其軟體開發人員具備相應的能力以開發更好、更可靠的軟體，提高代碼的審計、評估和缺陷檢測的速度和準確性，

陳新中，鑒釋聯合創始人兼首席技術官，他是高性能計算和嵌入式系統中高級編譯器和處理器優化方面的技術專家，是公認的全球編譯器優化技術領域的早期先驅者，

以下為采訪實錄：

記者：您是一位資深的軟體缺陷領域的專家，您能介紹下您的技術背景和作業經驗嗎？

陳新中：我本人的技術背景涵蓋很多領域，包括系統優化、產品研發，我曾先后就職于美普斯（MIPS）、硅圖（SGI）和英特爾（Intel）等公司，在SGI，我參與了高性能計算（HPC）專案；在英特爾我則擔任英特爾-清華大學聯合實驗室主任，致力于先進移動計算技術的研究，同時我也是英特爾實驗室嵌入式系統的研發總監，對大規模程式分析以及如何將其應用于安全缺陷管理的深刻理解，再加上豐富的軟體開發經驗，我非常明確分析源代碼時需要尋找什么，而這也是鑒釋所從事的研究方向，在過去三十多年的職業生涯中，我累計申請了20多項專利，在眾多技術和學術期刊上發表多篇論文，

記者：隨著物聯網技術的興起，它在各個行業的運用越來越廣泛，安全威脅與以前相比發生了哪些變化？

陳新中：物聯網環境包括不同大小的設備和產品，其產品在設計和技術層面的復雜程度各不相同，通常，物聯網系統由許多裝載非常原始作業系統（OS）的“受限型設備”組成，且缺乏保護，在物聯網中一切都是互相關聯的，設備之間通過資料流動實作通信，很多時候，資料在沒有嚴格安全協議的保護下，在設備之間流動，而且有些時候資料由于未被加密，很容易被攻擊者攔截利用，在物聯網領域，資料泄露非常常見，如果你有兩個互相通信的系統，它們極有可能具有不同的安全級別，一個系統的安全級別更高，而另一個的安全級別更低，在這種情況下，物聯網中的攻擊者尋找并識別最薄弱的環節，通過攻擊安全級別更低的系統來獲取高安全級別設備的訪問權限，去年，為了攻擊加州理工學院噴氣推進實驗室的系統，一名黑客只需要黑入與此相連接的低成本樹莓派設備，便輕易地獲取了500兆位元組的機密資料，顯然，這些樹莓派設備并沒有通過全面的安全審查，如果資料泄露能在加州理工學院發生，那么它在任何地方都可能發生，

2019年7月，據Armis的安全研究人員透露，11個被稱為“Urgent11”的漏洞感染了一系列設備，這些漏洞導致VxWorks出現問題，VxWorks是一種實時作業系統（RTOS），是常用于家庭安全攝像頭、智能儀表、可穿戴裝備等物聯網設備中的小型記憶體占用嵌入式作業系統，這些漏洞存在于VxWorks 實時作業系統的TCP/IP網路協議堆疊中，用于管理設備連接網路和連接本地網路中其他設備，這將影響到超過2億臺物聯網設備，

記者：企業在開發物聯網產品的代碼時，如何確保避免關鍵性的漏洞威脅？

陳新中：對于試圖盡快將產品推向市場的制造商而言，安全并不總是最重要的，在某些情況下，設備僅被配置一次，并且出于功率及成本考慮而不接受補丁或更新，以此來防止病毒入侵等安全問題隱患，根據IDC的預測報告，截至2025年世界上將有多達416億個互相連接的物聯網設備，而在這些設備上運行的大多數嵌入式韌體都是不安全且極易受到攻擊的，這就意味著全球許多關鍵系統和資料都存在風險，以智能儀表為例，它們普遍將默認的密碼寫入軟體中，通常而言，你可能認為它能夠提高儀表對惡意攻擊的敏感度，但是，如果您擁有多個智能儀表，并且所有的儀表都使用相同的默認密碼，則攻擊者無需花費太多時間就能破解該密碼，一直以來，安全從未成為物聯網發展的重點，但目前這個行業正在發生翻天覆地的變化，而采用質量第一的思維模式、秉承安全至上的設計理念對軟體開發人員至關重要，

在物聯網領域安全問題就更為復雜了，盡管開放連接基金會（OCF）等聯盟試圖建立開放統一的標準，但大多設備由于未采用共同的網路和編程方式而過于碎片化，大部分公司都開發了自己的專有系統，這是他們多年以來的運營模式，缺乏明確主導的統一標準，物聯網是需要付出代價的，從制定統一標準的角度出發，目前仍處于大量修改的程序中，如果你選擇遵從一個特定標準，這意味著你會被孤立于現在使用專用軟體系統的傳統物聯網設備，如攝影機、儀表等，我相信開放統一的標準將在未來占主流地位，但這還需要我們很多年的努力，

記者：代碼合規標準如CERT和MISRA有著怎樣的重要性？為什么尤其在中國市場它們更加重要？

陳新中：來自世界各地的工程師和軟體開發人員與美國CMU軟體工程研究所等機構開展合作，共同識別軟體漏洞和缺陷，并制定軟體開發規則和指南來避免將產品和應用程式暴露于風隙訓惡意攻擊，通過遵循為C/C++/Java制定的CERT等標準，你可以享受全世界開發人員的智慧結晶，因為他們已經事先替你全方位考慮了軟體缺陷的問題，目前而言，已經存在一些針對特定類別的標準，例如MISRA——一個為汽車行業開發的合規標準，值得注意的是，這些規則和指南都是在事件發生之后所制定的，對于尚未被黑客入侵的程式目前還沒有已制定的規則，一個很好的例子是心血漏洞（HeartBleed），最常見的互聯網資料保護層OpenSSL上有一個漏洞，它使原本受OpenSSL保護的資訊能被輕易竊取，事實上，這個漏洞已經存在了很長時間，然而直至其被攻擊修復前，沒有任何工具能夠發現它，心血漏洞后來被分類添加于高危安全漏洞資料庫中，

在中國，互聯網產品的上市速度需求巨大，產品上市速度越快，競爭優勢就越大，遵循代碼合規標準將保證您至少避免陷入基本和已知的漏洞，這一點極為重要，因為物聯網軟體開發通常使用C或C++編程語言來完成，而這些編程語言非常容易因記憶體損壞而出錯，

記者：為什么您覺得在中國源代碼質量存在著很大的問題，鑒釋愛科識(Xcalscan)是如何優化源代碼質量的？

陳新中：雖然現在許多國際市場已經為系統開發生命周期（SDLC）建立了成熟的流程，中國市場相比而言不夠成熟，為了更快地將產品推向市場，產品的安全和質量保證通常被犧牲，開發人員意識到程式的質量根本不可能按標準嚴格執行，除此以外，許多原本可用于設計部署的技術都沒有經常使用，靜態代碼分析的工具使用太少了，我們應該更重視這一點，以確保更高的代碼質量，標準合規性和更少的漏洞，

記者：與現有的解決方案相比，從技術層面，鑒釋愛科識 (Xcalscan)有哪些優勢？

陳新中：我們的核心優勢在于我們使用最先進的深度編譯器優化技術，能夠在代碼被編譯完成前更好地理解應用程式的運行方式，我們開發了新的線性演算法以改善分析時間和記憶體使用，幫助我們的解決方案進行更積極的分析，我們從整體的角度研究大型源代碼資料庫，而不是一次檢查一個函式，這使得我們能以更高的精準度識別缺陷并在我們的檢查結果中產生更少的誤報，減少誤報是我們許多用戶非常關心的問題，因為這通常需要花費時間對每個結果進行手動檢查，如果不從更廣泛的分析范圍查看源代碼，就不會發現類似于心血漏洞（HeartBleed）的漏洞，與競爭對手相比，在CERT合規方面，我們也有著更高的精準度，

在未來，我們將著眼于提供個性化定制服務，幫助我們的客戶自主制定規則來分析承載其業務核心資料的軟體代碼，同時，我們的行業目標是為軟體開發社區培養質量第一的思維模式和安全至上的設計理念，

（原文出自搜狐，編輯：坤林）

點擊了解更多鑒釋產品及資訊！