freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

源代码安全:低成本、高效率的数据隐私保护“捷径”
  • 关注
源代码安全:低成本、高效率的数据隐私保护“捷径”
2020-09-28 11:16:00

数据与隐私泄露年年有,为什么今年特别多?

显然,因为关注度上升了。根据马斯洛需求理论可见,人们在物质生活富足后,关于精神层面的更高需求会加速激发,隐私作为个人的合法权益,会越来越受关注。

9月,多位明星因个人航空里程积分被盗刷频上微博热搜。短短一周,吴磊、江映蓉、李晨等艺人相继爆料出里程积分被发现类似盗刷被兑换免费机票事件。这波事件引发的话题热议余温还在,紧接着,另一位明星张萌在微博上发声分享了令人“毛骨悚然”的经历——自己的身份信息被盗用,有陌生人用她的身份信息办了一张航空公司积分卡。“如果今天能用我的名义办一张积分卡,那么明天是不是就可以办银行卡,办贷款了。”她发出了灵魂质问。

这件事情之所以引发高度关注,除了本身的明星效应,最重要的是引起了共鸣。毕竟,普通人平时遭遇信息泄露时的憋屈,数据和隐私安全问题此起彼伏,并很难得到较满意的答复与处理。据iiMedia Research(艾媒咨询)发布的《3·15舆情专题系列:2018年个人信息泄露盘点报告》显示,超八成受访者曾遭遇个人信息泄露问题。

回到明星历程被盗事件,究竟是航空公司变笨了,还是偷窃者更聪明了?

鉴释科技的联合创始人兼首席架构师刘新铭评价道:人们通常都知道由外部黑客入侵数据中心引起的数据安全问题,但很少有人知道许多数据盗窃是该组织的员工,软件开发人员或软件承包商。

“日防夜防,家贼难防”。《财经》杂志的一项数据显示,有80%的数据泄露是企业“内鬼”所为,黑客和其他方式仅占20%。其中,无论是有意识还是无意识的内部泄露,部分风险来自软件开发环节中。

所以,数据与隐私安全的保护可以保障源代码安全及软件开发层面为切入口。在软件发布之前,将问题扼杀在摇篮中,是软件安全维护中成本较小的一类解决方案。

实际上,数据和隐私安全可以被看作不同的两件事:数据安全着重于数据的保护,减少泄露,有资格的人才可以看到,其他人不能接触或使用。隐私是只能看到该看的,不该看的东西一样都不能看到,就像改良后的机场X光安检机器,只会圈出乘客身上携带的可疑物品,对于其他隐私进行了模糊处理,而不是最原始的简单粗暴方式——直接呈现一个人被“扒光”的扫描结果。

对于软件的开发来说,数据安全和隐私都要兼顾。一般,在软件的设计规划上,需要建立一个内部管理制度,在写代码的时候规定哪个数据放在哪里,哪些人有权限访问。

不过这个过程会有产生一个问题:如何监控软件是否严格按照标准编写,有无错漏,员工是否夹带私货?传统的方式通常是人工审核,但效率较低。鉴释科技研发了基于编译器的静态源代码扫描工具,在编译器里添加了了一个规则引擎,在输入相应规则后,该工具会自动审核检测软件,如有异常会进行标记。

以一个简单的例子进行解释:一个医生需要了解一种药的受用情况,程序员会调用所有用药病人的数据库进行代码编写。但是,基于合规标准,他需要在编写过程中将病人如名字、家庭住址等不相关且私密的信息删除。源代码扫描工具能做的则是检测他在设计的过程中是否把需要脱敏的信息删除,是否有做私下的数据备份。如果员工有私自盗窃数据,工具会追踪数据在软件上的整个传送过程。安全中的人为因素不可能全部消失,但是我们可以做到最小化。

当然,关于数据和隐私安全,静态源代码扫描工具只是软件安全整套方法论的一个环节。刘新铭认为,数据、隐私安全是持续、系统的问题,需要从整体去推进。

其中,就软件设计的安全来看,政策是非常核心的因素。欧洲有GDPR,国内有《个人信息保护法》、《中华人民共和国密码法》,此外,2021年起生效的《中华人民共和国民法典》中增加了隐私权和个人信息保护章节,对应用程序、在线内容以及重要数据都做了进一步管控。

从政策层面去引导并且督促企业制定严格的软件设计规则,可以从根源上提升安全性。接下来,无论是检测工具还是国外出现的软件设计全流程的第三方服务机构,都发挥着进一步规范化的作用。以政策为风向标,会刺激市场相关产业的兴起,这些共同作用力会加速推进企业在源代码方面的安全系数。

“打造一个开发高品质软件的生态,安全就是其中非常重要的部分。” 刘新铭说。

社会的“不信任”是最大的成本,软件开发的安全是亡羊补牢的低成本机会。

据IDC发布的数据,全球网络安全行业的相关支出在2019年——2023年间将实现9.44%的复合年增长率,预计在2023年将达到1512.3亿美元;而中国网络安全市场的总体支出更是以25.1%复合年均增长率领跑全球,到2023年达到179亿美元。增长的数字在提示安全市场崛起的同时,也说明了安全投入正在成为趋势。我们必须要做安全,为什么不用更低成本、高效率的解决思路呢?

目前,市面上关于数据安全和隐私有很多的解方法,包括不断出现的技术如匿名化、隐私计算。但是,这些应对方式几乎都是处于数据应用阶段。对于数据和隐私的尊重不应该只存在于应用阶段,而是需要全周期的保护。

安全应该成为软件诞生既有的属性,而对于数据和隐私的尊重更应该存在软件诞生之前的设计规则在,这是意识上的超前。

# 数据安全 # 隐私安全 # 源代码安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者