作者:Rick Anderson和Arlen Baker

最近几个月，风河公司提供了自由软件安全评估在我们的网站上。该调查对任何人开放，并询问10个关于您的软件系统的非常简短的是/否安全问题。

每个问题都侧重于安全的不同方面风河螺旋安全框架。该框架建立在行业标准的机密性、完整性和可用性(CIA) Triad之上。评估包括关于系统检测威胁、限制访问、数据加密、引导进程和数据分离等能力的问题。

我们对这项评估作出了重大反应，其中一些结果确实很有启发性。不幸的是，它们也很麻烦，这表明大多数软件系统在提高安全性方面还有很多工作要做。可以公平地说，尽管在过去几年中，人们对如何保护软件系统的理解有所提高，但对这些系统的实际保护还没有出现。

在我们的在线评估中，第一个问题是关于你的系统检测超出其预期功能的行为的能力。53%的受访者回答“是”，这意味着47%的系统无法执行这一重要功能。构建支持认证方案的系统是快速检测对设备的攻击的重要步骤。定义初始化过程后不更改的内存区域可以在这些区域上计算消息摘要。这些基线值可以用来与设备运行时进行的计算进行比较。这些计算中的任何变化都可能表明系统受到攻击。

保护软件系统最关键的领域之一是持续监控系统中使用的第三方软件中的安全补丁。这种监视功能通常称为常见漏洞和暴露(CVEs)，需要专门的资源来持续扫描安全威胁和修复程序。56%的受访者表示他们的软件系统不存在此功能。对于风河的客户来说幸运的是，我们有一个专门的团队来监控我们的产品以及我们在产品中使用的第三方包。这个团队还参与了“第0天威胁”活动。关于持续更新的见解，我们的安全中心链接是一个很好的书签。我们的CVE数据库允许您输入您的产品和版本，并查看所有已知的漏洞。它提供了问题的描述、受影响的产品列表、与威胁相关的关键日期、优先级和其他详细信息，如补丁链接。

59%的受访者表示，他们的静止资料没有加密保护。在现代系统中，这可以轻松快速地完成。可用的安全引擎(如可信平台模块、配置安全单元、SEC引擎等)可用于提供基于硬件的解决方案，以保护设备上的客户数据。FIPS(联邦信息处理标准)140-2是验证密码硬件有效性和提供系统安全的外部证据的良好基准。

我们得到的最多的回答是“是”，有63%的人回答这个问题:你的系统限制访问关键操作系统功能吗?这符合最低特权的安全原则，该原则规定，应限制一个实体仅获得履行其职能所需的资源。如果系统的某个组件受到攻击，这可以将对整个系统的损害降至最低。当恶意软件试图访问未经授权执行的系统功能时，这种方法还可以用于检测攻击。

如果你还没有简短的评估花几分钟时间看看你做得如何。更多关于风河如何帮助的见解，我们鼓励您了解我们的专业服务或联系我们。在风河，安全永远是第一位的!