软件安全审计为何重要

2023年6月14日

本文由 ExpressVPN 的渗透测试员 Jack Chan 撰写。

ExpressVPN 首先是一家在线隐私公司。为了保持我们的高安全标准，我们经常聘请第三方审计员来验证我们的安全声明。在过去的两年里，我们已经委托进行了十多次 独立安全审计，涵盖了我们所有的应用程序、Aircove 路由器、隐私政策等。这些审计是在我们自身严格的内部审计流程基础上进行的。

那么，软件安全审计有什么价值，审计是如何进行的呢？

虽然所有类型的软件都会进行安全审计，但对于 VPN 服务来说，安全审计至关重要，因为它们在保护网络流量和确保用户隐私方面发挥着关键作用。近期的案例中发生的重大安全事件，尤其是涉及 VPN 漏洞的事件，再次提醒我们需要强有力的安全策略。

VPN 公司不仅需要努力确保安全，还必须赢得用户的信任。第三方审计在此过程中起到关键作用，以透明且独立的方式验证我们的安全声明。

什么是安全审计？为什么它们重要？

一般来说，大多数 VPN 由两个核心组件组成：用于建立连接的客户端通常是安装在用户设备上的应用程序和 VPN 服务器或网关。VPN 客户端和服务器应用程序都是由 VPN 厂商编写的软件，并在硬件用户设备和服务器上运行。

在复杂的软件开发过程中，错误和漏洞是不可避免的。有些漏洞很小，例如按钮显示错误的颜色。但有些漏洞可能较大，导致严重的安全隐患，可能导致设备被攻陷和数据泄露。

安全审计就是检查软件和源代码以确保它们没有漏洞的过程。作为质量控制的一部分，产品在向公众发布之前，应进行彻底的安全评估，以确保客户获得的软件尽可能安全。

安全审计是如何进行的？

安全审计应同时进行内部和外部审查，每种审计都遵循类似的方法。它们的目标都是全面了解软件，以消除任何漏洞。尽管目标相同、方法相似，但在某些方面有所不同：

独立性。 外部审计员是独立的第三方，可以提供新视角。此外，信誉良好的供应商会报告任何安全问题，而不考虑自身的利益或与开发团队的关系。虽然我们的内部安全团队在某种程度上也是独立的，但来自独立第三方的验证是维护用户信任的重要部分。

整合程度。 外部审计员完全独立，而内部审计与开发生命周期紧密整合，从一开始就将安全性融入设计、开发、交付等各个环节。内部审计是在开发生命周期中进行的，而外部审计通常关注完成的产品。我们将在下面的部分详细说明 ExpressVPN 如何处理这一点。

静态与动态安全审计方法

无论是内部审计还是外部审计，安全审计员通常采用两种方法进行软件审计：静态方法和动态方法。

在 静态方法 中，安全审计员会获得一份软件副本，最好是源代码，并分析其结构，而不会执行软件。这是安全审计的重要组成部分，因为它使审计员能够全面了解代码的工作原理。

接下来，在 动态方法 中，审计员会执行软件，实时理解和分析其实际行为。静态分析的信息也会在这里使用，审计员会验证所采取的安全防护措施是否足够强大，以抵御攻击。

审计结束后，将编写一份报告，详细列出每个识别出的漏洞，并提出一系列建议。该报告会与产品所有者分享，开发人员可根据建议进行审核和修复。最后，审计员将审核实施的修复措施，以确保其有效性。

并非所有安全审计的质量都相同

就像软件自身一样，安全审计也有其局限性。有些因素可能降低审计的质量。

时间限制。 虽然 ExpressVPN 始终为安全审计分配足够的时间，以确保审计的高标准即覆盖代码库和功能，但我们在行业中观察到的安全审计通常时间有限，尤其是在资源有限的情况下。审计所需的时间取决于软件的复杂程度，然而，仅因资源有限而缩短的时间会降低覆盖率：某些软件区域可能会被排除在审计范围之外。这些限制阻碍了全面审计的进行。

审计员素质。 ExpressVPN 始终与高技能和可信赖的供应商合作，并持续评估与之合作的审计员。与具有深厚知识和较强安全测试技能的审计员合作至关重要；一个对软件所使用的技术栈不太熟悉或对代码理解不够透彻的审计员，可能会漏掉潜在的严重漏洞。

我们充分意识到这些局限性，并针对这些问题设计了内部和外部审计流程。我们将在下文中详细说明。

ExpressVPN 的安全审计

我们安全审计为何与众不同？在 ExpressVPN，我们遵循一套完善的工作流程，以识别和解决软件开发生命周期多个阶段中的漏洞，并确保审计质量。

内部审计

在我们的工作流程的第一步，在任何代码编写之前，我们的安全团队作为设计评审者扮演着重要角色。我们审查正在构建的软件的高层设计，全面模拟可能面临的威胁，并识别潜在的安全风险，向开发人员提出切实可行的改进建议。这个过程有助于我们减少产品的结构性弱点，并在风险成为代码的一部分之前进行预防。

在开发过程中，我们继续与工程师密切合作，以确保在审计之前对软件进行全面了解。当应用程序即将发布时，我们会进行评估并试图“攻破”它。我们的安全团队成员凭借多年的行业经验及对多种技术的了解，都是审计实践方面的专家，覆盖我们的产品运行的所有平台，包括 Windows、Linux 和 macOS 客户端、Web 应用程序、固件以及 Android 和 iOS 客户端。

这套技能还使我们能够在诸如 Hack the Box CTF 这样的黑客大赛中取得出色表现在这些比赛中，“旗帜”被秘密隐藏在故意设计有漏洞的程序或网站中。实际上，在去年的 Hack the Box 比赛中，ExpressVPN 团队在650多支团队中名列第八。

内部安全审计由至少两名安全团队成员进行，他们每天检查审计覆盖范围，并确保重要领域得到全面覆盖。因此，在任何应用程序交到客户手中之前，我们能够稳定地识别几乎所有的严重弱点，这也体现在我们产品的外部审计发现很少的情况下。为了证实这一点，我们在过去两年内所做的所有外部审计的完整报告均可供公众访问 [(/trust#securityaudits)]，没有付费墙，没有订阅，仅仅是透明。

外部审计

一旦内部审核完成且我们已处理所有识别出的弱点，我们会与我们信任的供应商合作，独立验证产品的安全性。我们与他们分享详细的文档，以确保他们对产品的理解与我们一致，并给予他们访问源代码的权限，以便他们能了解幕后发生的事情。

作为我们内部审计流程强度的证明，我们的独立合作伙伴提出的弱点相对较少，而且通常影响较小，这些问题在我们的 供应商发布的报告中 皆可见。重要的是，这些积极的结果在行业内并不典型，通常会发现更多的问题，而且严重性更高。

通过上述所有努力，ExpressVPN能够自信地向追求安全的用户提供产品，我们将继续保持强大且透明的安全流程。

获取 ExpressVPN

30天退款保证

获取 ExpressVPN

什么是 VPN？

ExpressVPN 安全团队

ExpressVPN 的安全团队撰写文章，旨在惠及更广泛的网络安全社区。

为这篇文章点赞。或者分享你的看法！