为构建完整、安全、高质量的软件开发生命周期及供应链提供最全面的解决方案
“新思科技(Synopsys 以下简称新思科技)是为全球集成电路设计提供电子设计自动化(EDA)软件工具的主导企业。为全球电子市场提供技术先进的IC设计与验证平台,致力于复杂的芯片上系统(SoCs)的开发。”这是之前我了解的新思科技。
无疑,新思科技在EDA & IP,半导体及& 片内操作系统(芯片设计)的领导地位已经根深蒂固,那你是否听说其在软件安全与质量领域悄然布局发力……近日,新思科技软件质量与安全部门(SIG)在上海举办了一场关于在华发展策略的一场活动,新思科技软件质量与安全部门亚太区董事总经理陈玉贞,新思科技软件质量与安全部门高级安全架构师杨国梁出席并就新思科技软件质量与安全部门做了详细介绍。
新思科技最新的业务发展方向——软件质量与安全
从硬件,到软件,再到“安全的软件”,尤其在物联网设备数量开始爆发式增长,同时安全威胁日益严峻的今天,指导着新思科技最新的业务发展方向——软件质量与安全。陈玉贞表示,中国正进入了一个“大安全时代”,网络安全不再单指信息安全和信息系统安全,而是社会安全、基础设施安全、人身安全等更广泛意义上的安全。《中华人民共和国网络安全法》已经于2017年6月1日正式实施,如果违反规定,最高罚款为100万元人民币(约15万美金)。网络安全建设未来3-5年行业复合增速将达到25%-30%,有望到2020年成为千亿级市场。
新思科技软件质量与安全部门亚太区董事总经理陈玉贞
但是,中国网络安全目前存在巨大安全隐患。截至2017年6月,我国网民规模达到7.51亿,较2016年底新增网民1,992万人。互联网普及率为54.3%。据《中国网民权益保护调查报告(2016)》显示,2016年,有37%的网民因收到各类诈骗信息而蒙受经济损失。在个人信息安全中,72%的网民认为个人身份信息泄露情况最严重,包括网民的姓名、手机号、住址、身份证号码等信息。
陈玉贞强调说,中国正凭借互联网、大数据、人工智能和其它颠覆性技术大力推进产业改革。软件是实现这些重大转型计划的驱动力。因此,软件行业将迎来巨大的机遇。
作为提供完整应用安全测试解决方案的商,新思科技的技术特点有哪些?
自1995年以来,新思科技一直致力于中国市场。目前,新思科技在上海、香港、深圳和武汉设有办事处。上海办事处和研发中心目前拥有200多名销售、研发和技术支持人员。武汉研发和技术支持中心于2013年正式启用,目前有189名员工,并且新思科技正在武汉新建工业园,总投资为5,000万美元,预计2019年底投入运营。武汉研发团队预计到2020年壮大到500名员工。
“新思科技是全球第15大软件公司。新思科技采取一种整体的方法来设计、构建和维护安全软件,我们将这一概念称为“内置完整性” (Building Security In)。凭借一套全面的软件安全性和质量解决方案组合以及本地化服务, 新思科技可以在中国成为软件完整性领域的领导者,将功能、质量和安全性均无缝地融入SDLC。“陈玉贞介绍道。那么作为提供完整应用安全测试解决方案的商,新思科技的技术特点有哪些?
杨国梁详细介绍了新思科技软件质量与安全部门能够提供的测试项目及其优势。
新思科技软件质量与安全部门高级安全架构师杨国梁
Coverity(静态代码分析):可以进行代码的语义和缺陷分析,主要针对研发人员。支持主流SDLC方案的集成,需要分析的代码可以在夜间提交到构建服务器,Coverity平台的分析结果在第二天早上就可以给到研发人员。Coverity每年会有两个大版本更新,目前支持语言包括C/C++、C#等14种,对主流的操作系统同和编译器都有较广泛的支持。开源软件方面,Synopsys从2016年开始为开源社区免费提供Coverity Scan服务,目前有超过4600个开源项目用户。目前武汉研发中心大约有20 名开发人员,主要工作任务包括编译器配置:扩展编译器和版本覆盖,推动软件标准,例如MISRA(汽车产业软件可靠性),CERT C/C++ 安全编程规范,汽车开放系统架构。
Defensics(智能模糊测试):不需要软件源代码,针对测试和安全人员,在产品完成后,进行协议级别的模糊测试,和版本迭代测试。目前支持250+的协议(如下图所示,可按行业、技术领域进行检索),以及厂商私有协议的SDK支持。目前武汉研发中心大约有10 名开发工程师及4名测试工程师, 主要工作任务包括:套件开发,测试套件,团队从2016年10月开始开发套件,2017年7月开始开发测试套
Seeker(交互式应用安全测试):交互式介于Coverity和Defensics测试之间,不需要源码,但是可以提供代码级问题定位的精准测试结果。通过在Web服务器代理的方式,对数据流进行监控。优点在于零误报(安全问题均得到验证后才会告警)、提供针对编程语言及函数的修复建议,以及可简单地实现与现有研发和测试流程方案的集成。
除此之外,新思科技还提供托管服务及程序设计及开发,并且会进行大量的线上线下培训。
近几年,新思科技分别获得了Gartner 2017年魔力象限应用安全测试领导者,美国软件开发行业权威杂志SD Times 新思科技入选SD Times 100强排名(安全及表现类别)等大奖,并且特别清晰自己在中国的业务重点,陈玉贞讲到,互联网及电商:阿里巴巴、百度和腾讯,电信:中兴、中国移动、烽火和联想,汽车:上汽和泛亚汽车,IoT: 大华股份都已经是SIG的客户了,新思科技将重点关注金融服务、汽车、电商及互联网等。陈玉贞最后强调说:新思科技在价值定位上力争为构建完整、安全、高质量的软件开发生命周期及供应链提供最全面的解决方案,并在静态分析,软件组件分析,智能模糊测试,交互式应用安全测试,软件安全服务及培训等方面持续深耕。