Fasoo, 用Secure Coding保障中國IOT安保專欄
被稱為高級持續性威脅(Advanced Persistent Threat, APT)的漏洞攻擊已經越來越常見。APT尤為能抓取應用程序的漏洞。所有攻擊中的75%可以說都是利用應用程序的漏洞進行的攻擊。
現有的安全系統對阻止迂回攻擊具有局限性。因為只有從開發階段開始就補全應用程序安全編碼的漏洞,才是根本的解決辦法。
這種安保方法叫做“Secure coding開發安全”。是作為分析工具, 用來找到并消除APP生成源代碼的過程中生成的漏洞.
如果APP的安保漏洞是在研發成功后才發現的,就要增加30倍的額外修正費用。如果在運營中,找到漏洞并進行修改時,會比在設計階段發現漏洞增加100倍的額外修正費用。
隨著物聯網(IoT, Internet of Things)的登場,Secure coding也變得越來越重要。在物聯網的世界里所有的設備都具有智能性。也就是說,每一個IoT設備都將有自己的APP。那么物聯網設備的APP出現漏洞的話,設備有多少,APT的攻擊點就將有多少。
隨著APT攻擊的增加和物聯網的普及,潛在的威脅也在加劇。其中Fasoo(sparrow.fasoo.com)的Secure coding解決方案“Sparrow”在國內外備受關注。
程序運行時難以檢出的安保漏洞, 以執行意義分析(語義)引擎為基礎、 利用源代碼語法分析的Fasoo的Sparrow卻能檢測得到 。韓國行政自治部已公布的47個安保漏洞、 OWASP、CWE、CERT、 MISRA、BSSC等多樣的違反產業安保以及品質標準的事項都被檢測到。和競爭公司靜態分析工具相比,具備2倍以上的速度,還能快速準確的分析大容量源代碼。
Fasoo提出,智能性能是Sparrow的優勢。例如‘Active Suggestion’能夠顯示出對已檢測出的漏洞的修補向導;利用多種條件檢索漏洞,篩選相同原因引發的問題,一次性處理的‘Advanced lssue Filtering’; Sparrow還具有能夠合并一次性提示若干檢測結果的源構造中的相似項,并將一個提醒的處理方案適用到其它提醒當中的 ‘Intelligent Alarm Clustering’功能。
通過網頁版的綜合管理系統,在服務器中可以對正在運行的所有程序進行綜合管理。企業和機構原本使用的開發環境中,完全可以建立Sparrow。Sparrow支持 C/C++、JAVA、 JSP、PHP、 ASP、 C#、HTML以及安卓等各種語言的源代碼分析。
售賣的Sparrow分為安保漏洞管理工具(SCE)和品質管理工具(QCE)兩種。
Fasoo的Sparrow在韓國國內公共事業中取得了很大的成功。在金融界也擁有很多供給的例子。最近,Fasoo正為物聯網關聯的家電、汽車等制造商提供Sparrow。
Fasoo正以韓國市場的成功為基石,嘗試進軍全球市場。有觀點認為,Sparrow在全球物聯網市場上也具有很強的競爭力。
作為進軍全球市場的一環, Fasoo參加了本月18日到20日期間在深圳舉辦的物聯網相關內容的展會。大部分參展企業都與物聯網產業相關,Fasoo的Sparrow以物聯網APP安保主題備受關注。
3日內有500余人參觀Fasoo展臺,其中100多人不僅看了現場的產品說明,還仔細觀看了演示并對活動后的體驗版使用問題進行咨詢,對Sparrow表現出了極大的興趣。
Fasoo相關人士稱:“在商談客戶當中,希望設立合作法人或者結成合作伙伴的建議非常多。活動后,有計劃進行進一步的協商,年內將按照地區分類集中發掘合作伙伴并簽約,明年以后再考慮設立分公司或者另設法人。“
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。
