近年來，網絡安全事件頻發，企業及用戶紛紛投注更多的心力去維護自身的網絡安全。相對于各種防范措施，防范于未然，扼殺安全隱患才是最有效的辦法，而新思科技(Synopsys)的產品正是基于這樣的理念作為自身強化網絡安全及提升軟件質量的關鍵……
　　在過去沒有多久的第二屆世界互聯網大會上，習近平主席提到，安全和發展是一體之兩翼、驅動之雙輪。安全是發展的保障，發展是安全的目的，兩者之間相輔相成，共同促進各行各業的繁榮與進步。
　　在互聯網技術高速發展的今天，因網絡的開放性、隱蔽性、跨地域性等特性，許多安全問題亟待解決，比如在過去的2015年，全球便發生了多起網絡安全事件，如美國人事管理局OPM數據泄露，規模達2570萬，直接導致主管引咎辭職;英寬帶運營商TalkTalk被反復攻擊，400余萬用戶隱私數據終泄露;摩根士丹利35萬客戶信息涉嫌被員工盜取;日本養老金系統遭網絡攻擊，上百萬份個人信息泄露等。

雖然這些數據我們時常耳聞，但安防行業人士仍然會認為網絡安全問題距離我們仍很遙遠甚至無關，但“安全門”事件的爆發讓業內人士繃緊了神經，一個不爭的事實擺在眼前：互聯網技術在融入我們生活、工作、學習的方方面面的同時，網絡安全問題已經是無可避免的問題。以安全防范為核心的安防行業，網絡安全問題的重要性已經被提升到一個前所未有的新高度。
　　在此背景下，不僅讓安防企業在編解碼、傳輸、軟件管理平臺、存儲中下足功夫，甚至也吸引了其他行業的技術型企業的進入，新思科技(Synopsys)便是其中之一。作為電子設計自動化(EDA)和半導體知識產權(IP)領域的領導者，早在2014年便建立了一個專注軟件質量和軟件安全的新部門。“通過收購靜態分析技術供應商Coverity，我們成立了這個新的事業部，之后我們又陸續收購了五家企業(Kalistick、Codenomicon、Seeker、Protecode、Goanna)進一步強化測試的最佳化和靜態分析的技術實力。”Synopsys高級副總裁暨SIG總經理AndreasKuehlmann介紹，“我們賦予硬件設計更多的可預測性，在軟件方面，我們的戰略在一定的程度上也朝著同樣的方向在發展，為更多的設計師解決各種關鍵挑戰，從而降低成本和進度風險。”
      舉要治繁以技術捍衛安全
　　在此背景下，不僅讓安防企業在編解碼、傳輸、軟件管理平臺、存儲中下足功夫，甚至也吸引了其他行業的技術型企業的進入，新思科技(Synopsys)便是其中之一。作為電子設計自動化(EDA)和半導體知識產權(IP)領域的領導者，早在2014年便建立了一個專注軟件質量和軟件安全的新部門。“通過收購靜態分析技術供應商Coverity，我們成立了這個新的事業部，之后我們又陸續收購了五家企業(Kalistick、Codenomicon、Seeker、Protecode、Goanna)進一步強化測試的最佳化和靜態分析的技術實力。”Synopsys高級副總裁暨SIG總經理AndreasKuehlmann介紹，“我們賦予硬件設計更多的可預測性，在軟件方面，我們的戰略在一定的程度上也朝著同樣的方向在發展，為更多的設計師解決各種關鍵挑戰，從而降低成本和進度風險。”
　　2010年作為安防行業發展的重要分水嶺，視頻監控行業經歷了從模擬監控轉向網絡監控發展的變革。自此之后，許許多多的網絡攝像機、NVR、IP存儲服務器等產品的面世，意味著視頻監控開始快速向數字化技術發展，與此同時安防行業進入高速發展時期，從模擬到數字，從單品到系統，從高清化、智能化、大數據到云計算等等概念接踵而至，讓安防廠商應接不暇，并一直被網絡的大潮推著往前走，正因為跟上時代的潮流已經不容易，所以目前安防工程中，網絡安全問題仍沒有作為第一要素，工程無論在管理標準制定、設計、施工、驗收上都缺乏明確的要求和規范，甚至可以這樣認為，網絡安全對于安防行業而言仍然是一塊空白和陌生的領地。
　　自2014年起，視頻監控產業中多起網絡攻擊事件讓安防從業人員開始關注到新的問題點——網絡安全。2015年注定是載入安防發展史的重要一年，也勢必會成為安防產業邁入網絡化時代的重要里程碑，與此同時用戶對產品的全方位安全性能提出更高的要求，如何讓技術跟進市場需求，這將是未來市場又一主陣地。無論從技術面、產品設計、企業經營等層面看，“安全門”事件都將對安防行業的發展產生深遠的影響。
　　雖然安防行業對于網絡安全的認知相比IT及電信行業要顯得落后，但無論是國家政策還是行業發展，網絡安全是趨勢，也必然會是未來行業的硬性指標。如果說以前的安防行業發展強調穩定性，隨著安全性價值的挖掘，將來必然是安全性為王，在行業不斷洗牌的過程中，這點無疑將會成為安防設備商新的差異化競爭優勢。
　　毋庸置疑，面對網絡信息安全的問題，沒有人可以置身度外，沒有誰又可以做到銅墻鐵壁百毒不侵!隨著網絡技術越來越發達，網絡安全問題得到越來越多人的重視。“例如Heartbleed安全漏洞就因為暴露了加密信息而成為設備制造商關注的安全議題。可喜的是現在已經有越來越多的設備制造商重視網絡安全和源代碼的質量問題。”雖然處理網絡安全和軟件質量的方法有許多種，但最可靠和最直接的辦法卻是從源頭上進行扼制。AndreasKuehlmann認為，解決安全問題的關鍵是要找到一個能夠互補的辦法，因此新思科技通過以下四種技術，集中軟件開發的早期階段解決安全問題：
　　其一，靜態源代碼掃描測試(StaticAnalysis)，也稱為白盒測試，對應產品：Coverity。白盒測試能在源代碼的基礎上提供靜態分析，能夠在研發階段查找出代碼中難以發現的重大關鍵軟件缺陷和安全缺陷。目前支持的開發的語言包括C、C++、Java、C#、ObjectiveC、JavaScript、Python和PHP等，未來支持的開發語言將大大增加。通過讀取源代碼，實現深度分析來檢測安全漏洞;
　　其二，基于通訊協議的模糊測試(DynamicAnalysisorFuzzingTesting)，也稱為黑盒測試，對應產品：Defensics。Defensics模擬引擎是業界第一款基于狀態的模糊測試用例生成器。它利用嘗試協議模型來智能的、精確的向軟件輸入有組織的破壞性數據，試圖使系統崩潰，從而發現系統的未知缺陷和漏洞。目前覆蓋大約260多種協議，包含HTTP、RTSP、SIP、TCP/IP、Wi-Fi等常用協議;
　　其三，軟件成份分析(SoftwareCompositionAnalysis)，對應產品：Protecode。針對目前軟件開發過程中90%的部分是由開源代碼和第三方組件構成的，軟件成分分析工具Protecode能讓用戶快速精確的檢測和審計當前代碼庫中是否使用了已有開源代碼、組件或模塊，并確認這些開源部分是否違反開源協議，并協助用戶規避違反開源協議導致的法律風險;Protecode還能夠檢測當前使用的開源代碼、已經打包的二進制文件組件或模塊中是否包含已知的安全漏洞，Protecode已經集成了多個知名缺陷庫，能夠有效防范黑客攻擊;
　　其四，交互式應用程序安全性測試(InteractiveApplicationSecurityTesting)，對應產品：Seeker。針對網絡應用領域的互動式應用軟件安全進行測試，通過對網絡應用程序實時操作的監控，Seeker能夠高效分析前端頁面，中間數據處理層和后端數據庫可能存在的惡意攻擊。包括著名的OWASPTop10跨站腳本攻擊、SQL注入、目錄遍歷等真實存在的問題。
　　雖然這些源代碼看上去似乎微不足道，但往往正是這些漏洞導致非常嚴重的安全事件的發生。