被稱為高級(jí)持續(xù)性威脅(Advanced Persistent Threat, APT)的漏洞攻擊已經(jīng)越來(lái)越常見(jiàn)。APT尤為能抓取應(yīng)用程序的漏洞。所有攻擊中的75%可以說(shuō)都是利用應(yīng)用程序的漏洞進(jìn)行的攻擊。

現(xiàn)有的安全系統(tǒng)對(duì)阻止迂回攻擊具有局限性。因?yàn)橹挥袕拈_發(fā)階段開始就補(bǔ)全應(yīng)用程序安全編碼的漏洞，才是根本的解決辦法。

這種安保方法叫做“Secure coding開發(fā)安全”。是作為分析工具, 用來(lái)找到并消除APP生成源代碼的過(guò)程中生成的漏洞.

如果APP的安保漏洞是在研發(fā)成功后才發(fā)現(xiàn)的，就要增加30倍的額外修正費(fèi)用。如果在運(yùn)營(yíng)中，找到漏洞并進(jìn)行修改時(shí)，會(huì)比在設(shè)計(jì)階段發(fā)現(xiàn)漏洞增加100倍的額外修正費(fèi)用。

隨著物聯(lián)網(wǎng)(IoT, Internet of Things)的登場(chǎng)，Secure coding也變得越來(lái)越重要。在物聯(lián)網(wǎng)的世界里所有的設(shè)備都具有智能性。也就是說(shuō)，每一個(gè)IoT設(shè)備都將有自己的APP。那么物聯(lián)網(wǎng)設(shè)備的APP出現(xiàn)漏洞的話，設(shè)備有多少,APT的攻擊點(diǎn)就將有多少。

隨著APT攻擊的增加和物聯(lián)網(wǎng)的普及，潛在的威脅也在加劇。其中Fasoo(sparrow.fasoo.com)的Secure coding解決方案“Sparrow”在國(guó)內(nèi)外備受關(guān)注。

程序運(yùn)行時(shí)難以檢出的安保漏洞, 以執(zhí)行意義分析（語(yǔ)義）引擎為基礎(chǔ)、 利用源代碼語(yǔ)法分析的Fasoo的Sparrow卻能檢測(cè)得到 。韓國(guó)行政自治部已公布的47個(gè)安保漏洞、 OWASP、CWE、CERT、 MISRA、BSSC等多樣的違反產(chǎn)業(yè)安保以及品質(zhì)標(biāo)準(zhǔn)的事項(xiàng)都被檢測(cè)到。和競(jìng)爭(zhēng)公司靜態(tài)分析工具相比，具備2倍以上的速度，還能快速準(zhǔn)確的分析大容量源代碼。

Fasoo提出，智能性能是Sparrow的優(yōu)勢(shì)。例如‘Active Suggestion’能夠顯示出對(duì)已檢測(cè)出的漏洞的修補(bǔ)向?qū)В焕枚喾N條件檢索漏洞，篩選相同原因引發(fā)的問(wèn)題，一次性處理的‘Advanced lssue Filtering’； Sparrow還具有能夠合并一次性提示若干檢測(cè)結(jié)果的源構(gòu)造中的相似項(xiàng)，并將一個(gè)提醒的處理方案適用到其它提醒當(dāng)中的 ‘Intelligent Alarm Clustering’功能。

通過(guò)網(wǎng)頁(yè)版的綜合管理系統(tǒng)，在服務(wù)器中可以對(duì)正在運(yùn)行的所有程序進(jìn)行綜合管理。企業(yè)和機(jī)構(gòu)原本使用的開發(fā)環(huán)境中，完全可以建立Sparrow。Sparrow支持 C/C++、JAVA、 JSP、PHP、 ASP、 C#、HTML以及安卓等各種語(yǔ)言的源代碼分析。

售賣的Sparrow分為安保漏洞管理工具（SCE）和品質(zhì)管理工具（QCE）兩種。

Fasoo的Sparrow在韓國(guó)國(guó)內(nèi)公共事業(yè)中取得了很大的成功。在金融界也擁有很多供給的例子。最近，F(xiàn)asoo正為物聯(lián)網(wǎng)關(guān)聯(lián)的家電、汽車等制造商提供Sparrow。

Fasoo正以韓國(guó)市場(chǎng)的成功為基石，嘗試進(jìn)軍全球市場(chǎng)。有觀點(diǎn)認(rèn)為，Sparrow在全球物聯(lián)網(wǎng)市場(chǎng)上也具有很強(qiáng)的競(jìng)爭(zhēng)力。

作為進(jìn)軍全球市場(chǎng)的一環(huán)， Fasoo參加了本月18日到20日期間在深圳舉辦的物聯(lián)網(wǎng)相關(guān)內(nèi)容的展會(huì)。大部分參展企業(yè)都與物聯(lián)網(wǎng)產(chǎn)業(yè)相關(guān)，F(xiàn)asoo的Sparrow以物聯(lián)網(wǎng)APP安保主題備受關(guān)注。

3日內(nèi)有500余人參觀Fasoo展臺(tái)，其中100多人不僅看了現(xiàn)場(chǎng)的產(chǎn)品說(shuō)明，還仔細(xì)觀看了演示并對(duì)活動(dòng)后的體驗(yàn)版使用問(wèn)題進(jìn)行咨詢，對(duì)Sparrow表現(xiàn)出了極大的興趣。

Fasoo相關(guān)人士稱：“在商談客戶當(dāng)中，希望設(shè)立合作法人或者結(jié)成合作伙伴的建議非常多。活動(dòng)后,有計(jì)劃進(jìn)行進(jìn)一步的協(xié)商，年內(nèi)將按照地區(qū)分類集中發(fā)掘合作伙伴并簽約，明年以后再考慮設(shè)立分公司或者另設(shè)法人。“