华为英国安全问题表明需要安全编码
最初发表于 信息时代。这是一个更新版本,它纠正了Wind River Systems对其实时操作系统产品VxWorks的持续安全支持周围的定位。
英国华为网络安全评估中心最近的一份报告确定了华为软件工程流程中的主要安全问题。尽管有关这份重要报告的大部分新闻都集中在去年未解决的问题上,但更危险和被忽视的问题是华为显然缺乏采用的安全编码准则和实践。但这是一个可以解决的问题。
对于中国电信巨头华为来说,这个消息越来越糟。尽管美国断然禁止该公司参与未来的政府工作,但英国更加接受这样一个事实,即华为设备和代码中的许多潜在缺陷是可以修复的。英国于2010年成立了华为网络安全评估中心(HCSEC),以评估和解决华为产品的安全问题,并生产 年度报告 关于他们。但是,今年的报告尤其令人发指。
新闻中对2019年HCSEC报告的关注在很大程度上与去年几乎没有解决任何安全漏洞这一事实有关。这包括使用来自Wind River的旧版本的VxWorks实时操作系统,该操作系统的生命周期即将结束。华为已承诺解决这个问题(他们将获得Wind River Systems的持续支持),但它仍然是英国大部分电信基础设施的核心组成部分。
大多数主流媒体似乎忽视了一个关键因素,即公司开发和部署新软件和硬件过程中可能存在的根本性中断的过程。该报告指出,华为处理其内部工程方法的方式存在 “重大技术问题”。
让我们来看一下报告中概述的技术问题的一些例子。必须说,华为所做的最好的事情之一就是制定安全编码指南,以帮助他们的工程师和程序员部署新代码。这些指南涵盖了广泛的最佳实践,例如使用来自可信库的已知安全版本的系统功能和流程,当然也不是具有任何已知漏洞的变体。从理论上讲,这是一件好事,但对英国华为生产系统的真实评估发现,这些指导方针要么从未传达给程序员,要么被他们忽视,要么根本没有得到执行。
该报告研究了面向公众的应用程序中特定的内存处理功能,在本例中是一组留言板,邀请用户根据程序添加输入。鉴于用户输入区域不应被视为 “可信”,根据华为内部准则,预计这些区域将仅包含安全代码。具体而言,测试人员研究了在这些生产系统中直接调用内存处理函数 memcpy ()、strcpy () 和 sprintf () 的情况,已知这些函数可能会导致严重的安全问题,例如缓冲区溢出 1988 。
令人震惊的是,有5,000次直接调用了17个已知的安全memcpy()函数,但也有600次使用了12种不安全的变体。它与其他功能的比例大致相同。有 1,400 次安全的 strcpy () 调用,但也有 400 次存在已知漏洞的错误调用。并发现了 sprintf () 有 2,000 种安全用途,相比之下,有 200 种不安全的用途。虽然这些功能的大部分用途是安全的,但仍有大约 20% 的代码容易受到已知攻击。这是一个巨大的威胁面攻击区域,它也只考虑了对三个内存处理函数的直接调用,没有考虑通过函数指针间接使用它们的任何实例。尽管审计师只研究了这些特定的函数,但所选的三个内存处理函数不太可能是唯一有问题的函数。
尽管华为为程序员制定最佳实践指南是件好事,但显然还有更多工作要做。这是概述安全期望的一个步骤,但只有积极遵循这些指导方针并让开发人员熟悉这些期望,这些期望才有效。华为可以通过承诺有效培训程序员,而不仅仅是略读如何遵循华为内部指导方针的基础知识,在提高安全性方面取得重大进展。他们必须付出额外的飞跃,演示如何更安全地进行编码。程序员需要接受关于好(安全)和不好(不安全)编码模式的充分培训,并有责任每次都实践公司所宣扬的内容。
HCSEC报告中概述的许多特定编码问题都已作为其中的一部分得到解决和执行 安全代码勇士 平台,它培训程序员和网络安全团队始终部署和维护安全代码。平台内不断演示诸如从不信任用户输入、始终从已建立的库中提取函数、在将所有输入传递给服务器之前对其进行消毒以及许多其他安全编码实践等概念。我们还会研究高度特定的漏洞,并逐步说明如何避免和缓解这些漏洞。
除了熟练的培训外,像华为这样的公司还可以使用DevSecOps解决方案。它直接在 IDE 中添加实时指导,利用根据公司安全准则定制的安全编码配方,在编码 “厨房” 中充当开发人员编写代码的副厨师。这种方法可以帮助各种技能水平的华为程序员编写更好的代码并识别潜在的漏洞,同时也允许华为的安全专家创建一本符合其政策并帮助执行命令的 “食谱”。
从华为的麻烦中吸取的核心教训应该是,如果程序员不了解安全编码指南,或者干脆不知道如何遵循良好的编码规范,那么制定安全编码指南就毫无意义。在这种情况下,内部最佳实践指南竟然是华为自己的zhilaohu;西方称之为”一只纸老虎'。这是一份风格多样,但没有实质内容的文件。要赋予它真正的实力,就需要正确的实用工具和实际的培训计划,该计划采用动手实践的方法,不断积累知识和技能。
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
最初发表于 信息时代。这是一个更新版本,它纠正了Wind River Systems对其实时操作系统产品VxWorks的持续安全支持周围的定位。
英国华为网络安全评估中心最近的一份报告确定了华为软件工程流程中的主要安全问题。尽管有关这份重要报告的大部分新闻都集中在去年未解决的问题上,但更危险和被忽视的问题是华为显然缺乏采用的安全编码准则和实践。但这是一个可以解决的问题。
对于中国电信巨头华为来说,这个消息越来越糟。尽管美国断然禁止该公司参与未来的政府工作,但英国更加接受这样一个事实,即华为设备和代码中的许多潜在缺陷是可以修复的。英国于2010年成立了华为网络安全评估中心(HCSEC),以评估和解决华为产品的安全问题,并生产 年度报告 关于他们。但是,今年的报告尤其令人发指。
新闻中对2019年HCSEC报告的关注在很大程度上与去年几乎没有解决任何安全漏洞这一事实有关。这包括使用来自Wind River的旧版本的VxWorks实时操作系统,该操作系统的生命周期即将结束。华为已承诺解决这个问题(他们将获得Wind River Systems的持续支持),但它仍然是英国大部分电信基础设施的核心组成部分。
大多数主流媒体似乎忽视了一个关键因素,即公司开发和部署新软件和硬件过程中可能存在的根本性中断的过程。该报告指出,华为处理其内部工程方法的方式存在 “重大技术问题”。
让我们来看一下报告中概述的技术问题的一些例子。必须说,华为所做的最好的事情之一就是制定安全编码指南,以帮助他们的工程师和程序员部署新代码。这些指南涵盖了广泛的最佳实践,例如使用来自可信库的已知安全版本的系统功能和流程,当然也不是具有任何已知漏洞的变体。从理论上讲,这是一件好事,但对英国华为生产系统的真实评估发现,这些指导方针要么从未传达给程序员,要么被他们忽视,要么根本没有得到执行。
该报告研究了面向公众的应用程序中特定的内存处理功能,在本例中是一组留言板,邀请用户根据程序添加输入。鉴于用户输入区域不应被视为 “可信”,根据华为内部准则,预计这些区域将仅包含安全代码。具体而言,测试人员研究了在这些生产系统中直接调用内存处理函数 memcpy ()、strcpy () 和 sprintf () 的情况,已知这些函数可能会导致严重的安全问题,例如缓冲区溢出 1988 。
令人震惊的是,有5,000次直接调用了17个已知的安全memcpy()函数,但也有600次使用了12种不安全的变体。它与其他功能的比例大致相同。有 1,400 次安全的 strcpy () 调用,但也有 400 次存在已知漏洞的错误调用。并发现了 sprintf () 有 2,000 种安全用途,相比之下,有 200 种不安全的用途。虽然这些功能的大部分用途是安全的,但仍有大约 20% 的代码容易受到已知攻击。这是一个巨大的威胁面攻击区域,它也只考虑了对三个内存处理函数的直接调用,没有考虑通过函数指针间接使用它们的任何实例。尽管审计师只研究了这些特定的函数,但所选的三个内存处理函数不太可能是唯一有问题的函数。
尽管华为为程序员制定最佳实践指南是件好事,但显然还有更多工作要做。这是概述安全期望的一个步骤,但只有积极遵循这些指导方针并让开发人员熟悉这些期望,这些期望才有效。华为可以通过承诺有效培训程序员,而不仅仅是略读如何遵循华为内部指导方针的基础知识,在提高安全性方面取得重大进展。他们必须付出额外的飞跃,演示如何更安全地进行编码。程序员需要接受关于好(安全)和不好(不安全)编码模式的充分培训,并有责任每次都实践公司所宣扬的内容。
HCSEC报告中概述的许多特定编码问题都已作为其中的一部分得到解决和执行 安全代码勇士 平台,它培训程序员和网络安全团队始终部署和维护安全代码。平台内不断演示诸如从不信任用户输入、始终从已建立的库中提取函数、在将所有输入传递给服务器之前对其进行消毒以及许多其他安全编码实践等概念。我们还会研究高度特定的漏洞,并逐步说明如何避免和缓解这些漏洞。
除了熟练的培训外,像华为这样的公司还可以使用DevSecOps解决方案。它直接在 IDE 中添加实时指导,利用根据公司安全准则定制的安全编码配方,在编码 “厨房” 中充当开发人员编写代码的副厨师。这种方法可以帮助各种技能水平的华为程序员编写更好的代码并识别潜在的漏洞,同时也允许华为的安全专家创建一本符合其政策并帮助执行命令的 “食谱”。
从华为的麻烦中吸取的核心教训应该是,如果程序员不了解安全编码指南,或者干脆不知道如何遵循良好的编码规范,那么制定安全编码指南就毫无意义。在这种情况下,内部最佳实践指南竟然是华为自己的zhilaohu;西方称之为”一只纸老虎'。这是一份风格多样,但没有实质内容的文件。要赋予它真正的实力,就需要正确的实用工具和实际的培训计划,该计划采用动手实践的方法,不断积累知识和技能。
最初发表于 信息时代。这是一个更新版本,它纠正了Wind River Systems对其实时操作系统产品VxWorks的持续安全支持周围的定位。
英国华为网络安全评估中心最近的一份报告确定了华为软件工程流程中的主要安全问题。尽管有关这份重要报告的大部分新闻都集中在去年未解决的问题上,但更危险和被忽视的问题是华为显然缺乏采用的安全编码准则和实践。但这是一个可以解决的问题。
对于中国电信巨头华为来说,这个消息越来越糟。尽管美国断然禁止该公司参与未来的政府工作,但英国更加接受这样一个事实,即华为设备和代码中的许多潜在缺陷是可以修复的。英国于2010年成立了华为网络安全评估中心(HCSEC),以评估和解决华为产品的安全问题,并生产 年度报告 关于他们。但是,今年的报告尤其令人发指。
新闻中对2019年HCSEC报告的关注在很大程度上与去年几乎没有解决任何安全漏洞这一事实有关。这包括使用来自Wind River的旧版本的VxWorks实时操作系统,该操作系统的生命周期即将结束。华为已承诺解决这个问题(他们将获得Wind River Systems的持续支持),但它仍然是英国大部分电信基础设施的核心组成部分。
大多数主流媒体似乎忽视了一个关键因素,即公司开发和部署新软件和硬件过程中可能存在的根本性中断的过程。该报告指出,华为处理其内部工程方法的方式存在 “重大技术问题”。
让我们来看一下报告中概述的技术问题的一些例子。必须说,华为所做的最好的事情之一就是制定安全编码指南,以帮助他们的工程师和程序员部署新代码。这些指南涵盖了广泛的最佳实践,例如使用来自可信库的已知安全版本的系统功能和流程,当然也不是具有任何已知漏洞的变体。从理论上讲,这是一件好事,但对英国华为生产系统的真实评估发现,这些指导方针要么从未传达给程序员,要么被他们忽视,要么根本没有得到执行。
该报告研究了面向公众的应用程序中特定的内存处理功能,在本例中是一组留言板,邀请用户根据程序添加输入。鉴于用户输入区域不应被视为 “可信”,根据华为内部准则,预计这些区域将仅包含安全代码。具体而言,测试人员研究了在这些生产系统中直接调用内存处理函数 memcpy ()、strcpy () 和 sprintf () 的情况,已知这些函数可能会导致严重的安全问题,例如缓冲区溢出 1988 。
令人震惊的是,有5,000次直接调用了17个已知的安全memcpy()函数,但也有600次使用了12种不安全的变体。它与其他功能的比例大致相同。有 1,400 次安全的 strcpy () 调用,但也有 400 次存在已知漏洞的错误调用。并发现了 sprintf () 有 2,000 种安全用途,相比之下,有 200 种不安全的用途。虽然这些功能的大部分用途是安全的,但仍有大约 20% 的代码容易受到已知攻击。这是一个巨大的威胁面攻击区域,它也只考虑了对三个内存处理函数的直接调用,没有考虑通过函数指针间接使用它们的任何实例。尽管审计师只研究了这些特定的函数,但所选的三个内存处理函数不太可能是唯一有问题的函数。
尽管华为为程序员制定最佳实践指南是件好事,但显然还有更多工作要做。这是概述安全期望的一个步骤,但只有积极遵循这些指导方针并让开发人员熟悉这些期望,这些期望才有效。华为可以通过承诺有效培训程序员,而不仅仅是略读如何遵循华为内部指导方针的基础知识,在提高安全性方面取得重大进展。他们必须付出额外的飞跃,演示如何更安全地进行编码。程序员需要接受关于好(安全)和不好(不安全)编码模式的充分培训,并有责任每次都实践公司所宣扬的内容。
HCSEC报告中概述的许多特定编码问题都已作为其中的一部分得到解决和执行 安全代码勇士 平台,它培训程序员和网络安全团队始终部署和维护安全代码。平台内不断演示诸如从不信任用户输入、始终从已建立的库中提取函数、在将所有输入传递给服务器之前对其进行消毒以及许多其他安全编码实践等概念。我们还会研究高度特定的漏洞,并逐步说明如何避免和缓解这些漏洞。
除了熟练的培训外,像华为这样的公司还可以使用DevSecOps解决方案。它直接在 IDE 中添加实时指导,利用根据公司安全准则定制的安全编码配方,在编码 “厨房” 中充当开发人员编写代码的副厨师。这种方法可以帮助各种技能水平的华为程序员编写更好的代码并识别潜在的漏洞,同时也允许华为的安全专家创建一本符合其政策并帮助执行命令的 “食谱”。
从华为的麻烦中吸取的核心教训应该是,如果程序员不了解安全编码指南,或者干脆不知道如何遵循良好的编码规范,那么制定安全编码指南就毫无意义。在这种情况下,内部最佳实践指南竟然是华为自己的zhilaohu;西方称之为”一只纸老虎'。这是一份风格多样,但没有实质内容的文件。要赋予它真正的实力,就需要正确的实用工具和实际的培训计划,该计划采用动手实践的方法,不断积累知识和技能。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
最初发表于 信息时代。这是一个更新版本,它纠正了Wind River Systems对其实时操作系统产品VxWorks的持续安全支持周围的定位。
英国华为网络安全评估中心最近的一份报告确定了华为软件工程流程中的主要安全问题。尽管有关这份重要报告的大部分新闻都集中在去年未解决的问题上,但更危险和被忽视的问题是华为显然缺乏采用的安全编码准则和实践。但这是一个可以解决的问题。
对于中国电信巨头华为来说,这个消息越来越糟。尽管美国断然禁止该公司参与未来的政府工作,但英国更加接受这样一个事实,即华为设备和代码中的许多潜在缺陷是可以修复的。英国于2010年成立了华为网络安全评估中心(HCSEC),以评估和解决华为产品的安全问题,并生产 年度报告 关于他们。但是,今年的报告尤其令人发指。
新闻中对2019年HCSEC报告的关注在很大程度上与去年几乎没有解决任何安全漏洞这一事实有关。这包括使用来自Wind River的旧版本的VxWorks实时操作系统,该操作系统的生命周期即将结束。华为已承诺解决这个问题(他们将获得Wind River Systems的持续支持),但它仍然是英国大部分电信基础设施的核心组成部分。
大多数主流媒体似乎忽视了一个关键因素,即公司开发和部署新软件和硬件过程中可能存在的根本性中断的过程。该报告指出,华为处理其内部工程方法的方式存在 “重大技术问题”。
让我们来看一下报告中概述的技术问题的一些例子。必须说,华为所做的最好的事情之一就是制定安全编码指南,以帮助他们的工程师和程序员部署新代码。这些指南涵盖了广泛的最佳实践,例如使用来自可信库的已知安全版本的系统功能和流程,当然也不是具有任何已知漏洞的变体。从理论上讲,这是一件好事,但对英国华为生产系统的真实评估发现,这些指导方针要么从未传达给程序员,要么被他们忽视,要么根本没有得到执行。
该报告研究了面向公众的应用程序中特定的内存处理功能,在本例中是一组留言板,邀请用户根据程序添加输入。鉴于用户输入区域不应被视为 “可信”,根据华为内部准则,预计这些区域将仅包含安全代码。具体而言,测试人员研究了在这些生产系统中直接调用内存处理函数 memcpy ()、strcpy () 和 sprintf () 的情况,已知这些函数可能会导致严重的安全问题,例如缓冲区溢出 1988 。
令人震惊的是,有5,000次直接调用了17个已知的安全memcpy()函数,但也有600次使用了12种不安全的变体。它与其他功能的比例大致相同。有 1,400 次安全的 strcpy () 调用,但也有 400 次存在已知漏洞的错误调用。并发现了 sprintf () 有 2,000 种安全用途,相比之下,有 200 种不安全的用途。虽然这些功能的大部分用途是安全的,但仍有大约 20% 的代码容易受到已知攻击。这是一个巨大的威胁面攻击区域,它也只考虑了对三个内存处理函数的直接调用,没有考虑通过函数指针间接使用它们的任何实例。尽管审计师只研究了这些特定的函数,但所选的三个内存处理函数不太可能是唯一有问题的函数。
尽管华为为程序员制定最佳实践指南是件好事,但显然还有更多工作要做。这是概述安全期望的一个步骤,但只有积极遵循这些指导方针并让开发人员熟悉这些期望,这些期望才有效。华为可以通过承诺有效培训程序员,而不仅仅是略读如何遵循华为内部指导方针的基础知识,在提高安全性方面取得重大进展。他们必须付出额外的飞跃,演示如何更安全地进行编码。程序员需要接受关于好(安全)和不好(不安全)编码模式的充分培训,并有责任每次都实践公司所宣扬的内容。
HCSEC报告中概述的许多特定编码问题都已作为其中的一部分得到解决和执行 安全代码勇士 平台,它培训程序员和网络安全团队始终部署和维护安全代码。平台内不断演示诸如从不信任用户输入、始终从已建立的库中提取函数、在将所有输入传递给服务器之前对其进行消毒以及许多其他安全编码实践等概念。我们还会研究高度特定的漏洞,并逐步说明如何避免和缓解这些漏洞。
除了熟练的培训外,像华为这样的公司还可以使用DevSecOps解决方案。它直接在 IDE 中添加实时指导,利用根据公司安全准则定制的安全编码配方,在编码 “厨房” 中充当开发人员编写代码的副厨师。这种方法可以帮助各种技能水平的华为程序员编写更好的代码并识别潜在的漏洞,同时也允许华为的安全专家创建一本符合其政策并帮助执行命令的 “食谱”。
从华为的麻烦中吸取的核心教训应该是,如果程序员不了解安全编码指南,或者干脆不知道如何遵循良好的编码规范,那么制定安全编码指南就毫无意义。在这种情况下,内部最佳实践指南竟然是华为自己的zhilaohu;西方称之为”一只纸老虎'。这是一份风格多样,但没有实质内容的文件。要赋予它真正的实力,就需要正确的实用工具和实际的培训计划,该计划采用动手实践的方法,不断积累知识和技能。
Índice
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
