鑒釋觀點 | 提升源代碼安全管控，從源頭保護敏感數據

如何有效地保護敏感數據，成為了當下產業發展的重要命題。

在數據時代，數據安全無疑是最受人們關注的。互聯網興起以來，數據安全就一直是熱點話題，頻頻出現在各大新聞頭條。從國家機構、金融行業，到互聯網行業，數據安全涉及廣泛的領域。企業一旦遭遇數據泄漏，或許會帶來營收下降、聲譽受損、高額經濟處罰、訴訟等后果，對任何企業而言都可能是致命打擊。

目前，市面上的數據防泄漏的相關產品（DLP）從傳統的管控型、行為監察型，逐步向內容感知型發展。盡管如此，這些產品仍然以被動防護為主，主動防護能力不足，特別是針對隱藏數據的可逃避性追蹤。那么，究竟是否有一種行之有效的方法，可以彌補這一弊端呢？

敏感數據是指未經授權訪問的信息，一旦泄漏可能會給社會或個人造成嚴重后果的數據。比如：個人隱私數據，如姓名、身份證號碼、住址、電話、銀行賬號、郵箱、密碼、醫療信息、教育背景等; 也包括企業或社會機構不宜公布的數據，如企業的經營情況、網絡結構、 IP 地址列表等。應該通過在數據安全性和信息安全性方面實施足夠的措施限制對敏感數據的訪問，因而防止敏感信息在未經授權情況下被披露。

黑客竊取敏感信息，通常是利益所驅。據中消協組織開展的“App 個人信息泄露情況”問卷調查顯示，超八成受訪者曾遭遇個人信息泄露問題。最令人擔憂的問題是個人信息被用來從事欺詐活動，占 70.5％；其次是被出售或交換給第三方，約占 52.4％。黑客可以將敏感數據出售給他人，購買者可以利用他人的信息或數據達到非法牟利或犯罪的目的。例如，使用受害者的信用卡或以他們的名義借貸；或者黑客用竊取來的數據用于針對網絡釣魚、攻擊和勒索；某些黑客也可以針對企業，盜取其商業機密等。

世界各國政府都在為此陸續出臺相關法律政策。在中國，全國人大常委會法工委共同起草了《數據安全法》草案，已經提請十三屆全國人大常委會第二十次會議審議。而在歐洲，GDPR 將歐盟數據保護法的范圍擴展至所有處理歐盟居民數據的外國公司，要求所有公司：提供數據泄漏的通知、任命一名數據保護官、需獲取用戶同意方能進行數據處理、匿名化數據以保護隱私。Cyber??security Ventures 預測，從 2017 年到 2021 年的五年內，全球在網絡安全產品和服務上的支出累計將超過 1 萬億美元（https://www.ibm.com/security/data-breach）。如此龐大的數字，可見無論是金融、運營商、生態系統，還是運營類 APP，各個行業平臺對數據安全的重視和投入都成增長趨勢。如何有效地保護敏感數據顯然變成了當務之急。

有了國家層面的立法保障，我們也看到近年來，數據防泄漏的相關產品（DLP）從傳統的管控型、行為監察型，逐步發展到內容感知型。但目前市面上的 DLP 產品仍存在不足之處。主要體現在這些 DLP 產品還停留在被動式防護的邏輯上，主動防護能力不足，特別是針對隱藏數據的可逃避性追蹤。市面上各類應用程序本身存在的漏洞正在被第三方濫用。國家計算機網絡應急技術處理協調中心發布的《2019 年我國互聯網網絡安全態勢綜述》（圖1）報告指出，按安全漏洞所影響對象分類，有近 80% 的漏洞對象是發生在應用程序與 web 應用程序。

因此，對于敏感數據泄漏的安全防護應該從源頭抓起，提升軟件源代碼的安全管控能力，特別是對軟件代碼中敏感數據去向的管控，以及是否存在安全隱患、被第三方惡意竊取、工程師的無意識泄漏等問題。通過對軟件代碼進行深度的靜態代碼分析（SAST）能有效解決以上的問題，原因在于：

SAST 在軟件開發與集成的早期階段就能主動找出潛在的安全隱患。

由于 DLP 不能識別訪問私有數據的威脅，及對網站的 SQL 注入。使用代碼掃描技術時，可以更容易地識別出此缺陷。

公司內部的 IT 安全專業人員是 DLP 等解決方案的專家，但無法識別可能導致數據泄露的軟件代碼錯誤。

要在源頭上實現敏感數據泄漏安全主動防護，可通過程序開發或運營方主動標記敏感數據字段，并對程序執行需要調用的系統 API 接口進行檢查，包括系統打印、文件存儲、IPC pipe、IPC socket 等，確保敏感數據不被主動或者被動地泄漏給第三方，從而幫助企業經營管理的數據合規、有效降低數據泄漏風險。鑒釋的SAST工具，能夠主動地發現可能導致數據泄漏或數據泄漏的缺陷，幫助從源頭解決問題。

另一個值得關注的問題，是企業對于信息安全方面的支出和預測不足。美國最頂尖的網絡安全專家之一Eric Cole 博士指出，隨著網絡攻擊的增加，企業不斷在安全方面付出高昂成本，但確經常把錢花在錯誤的地方。大部分與信息安全有關的支出，未被計為與信息安全有關（https://www.inc.com/joseph-steinberg/why-cybersecurity-spending-is-much-higher-than-reported.html）。不得不說，發生此類現象，IT 安全官有無法推卸的責任。大部分時候，這是由于 IT 安全官忽視與程序員的溝通，而只關注協議和網絡級別的安全問題。

除了有相關法律法規的保障作為前提，數據安全解決方案也應滿足不同行業對數據安全的需求，提供全面的保障。靜態分析可以對源代碼進行深度檢測與掃描，在軟件開發、持續集成、持續交付的各個階段，引導安全編碼的早期介入。如此一來，可以主動防止敏感數據泄漏，從而有效地保障個人隱私與企業經營的數據安全。我們很高興地看到，鑒釋來自不同領域的合作伙伴，都將靜態代碼掃描作為企業網絡安全的第一步，把對源代碼的安全視為一項重要的戰略投資。相比市面上大多數缺乏主動防御機制的 DLP 解決方案，靜態代碼掃描的解決方案無疑可以填補這一空白。而更重要的是，數據安全不僅僅是 IT 安全官或數據隱私官的責任，也是開發人員共同的責任。

作者簡介

肖琳杰，鑒釋解決方案工程師，主要負責軟件開發生命周期（SDLC）流程自動化、軟件質量管理與優化、軟件數據安全。

關于鑒釋

鑒釋的使命是通過創建簡單操作的工具來協助開發人員構建并調配安全可靠的代碼。鑒釋成立于2018年，由擁有數十年開發經驗的世界級軟件專家創辦，并在深圳、北京、上海和香港設立了辦事處。鑒釋提高了代碼的審計、評估和缺陷檢測的速度和準確性。我們通過使用高級靜態分析技術幫助客戶降低成本，提高生產力，并確保其軟件開發人員具備相應的能力以開發更好、更可靠的軟件。

最后，記得關注微信公眾號：鎂客網（im2maker），更多干貨在等你！