我们的 博客

中国的《密码法》对开发人员意味着什么?

Jan 15, 2020 刘新铭

《中华人民共和国密码法》于2019年10月获得中国最高立法机关的通过,并于2020年1月1日生效。该法适用于信息从一个地方传输到另一个地方或被存储,必须通过使用密码学的手段得到保护或转换为被保护的形式存储。对于大多数组织,法律意味着必须进行安全评估并确保合规性。法律规定任何公司都必须接受国家安全审查,由政府相关部门进行随机检查。总体而言,该法律是促进商业加密和制定法律规范的积极步骤。但是,今天仅存在监管框架,而在相关部门随机检查的范围和措施方面缺少细节的描述。当然,随着时间的推移,相关政府部门会逐步制定国家和行业标准。但在没有这些明确的指导方针之前,相关行业该如何做呢?

在回答这个问题之前,让我们仔细研究一下法律。 一般而言,密码法规范在公共部门中必须采取的措施来保护国家秘密(核心和通用密码),以及商业部门应采取这种措施来保护国家机密之外可供公民,法人和组织使用的信息。 该法律标志着中国政府针对互联网关键领域与核心在线基础设施的相关立法,又向前迈进一步。

在商业领域中开发软件应用程序时,善用密码学是对抗篡改数据、恶意攻击的关键。 例如,处于OWASP威胁列表中的代码注入就是通常用于未经授权的访问和从系统中获取敏感信息。密码遭破解可能的业务影响包括侵犯隐私,盗窃信息,盗窃代码,知识产权和声誉受损。违反该法可能导致贵组织最高100万元人民币的罚款。因此, 应用程序安全(Application Security)比以往任何时候都更为重要。应用程序安全是指通过使用诸如静态代码分析的工具在软件开发的阶段,构建安全代码。

现在,在世界许多地方都已经使用代码审查工具,尤其是在欧洲,数年前出台了数据隐私法,欧盟正积极惩罚各类违规企业。 静态代码分析以及同僚代码审查是监控和确保源代码质量的关键。 我们都知道,虽然随着恶意黑客的日趋复杂,消除所有攻击是不可能的; 但是,如果应用开发组织不解决已知软件漏洞,它们不但违反其道德义务,也将背负法律责任。 因此,使用静态代码分析来识别漏洞,以及未使用加密的代码,乃是软件开发的必要手段。

总而言之,为回答有关在等待有关加密法的详细指导方针时可以做什么的问题,很明显,除了评估现有的应用程序外,应在软件开发过程,使用工具识别出并修复有加密破绽和弱加密的代码。鉴释的静态代码分析工具可以帮助开发人员构建和部署高质量,合规且无漏洞的源代码。 作为规则集的一部分,我们会主动扫描弱加密和需要加密但加密缺失的地方,这是确保满足加密法法律要求的有效方法。 我们将密切关注政府实施的标准细节,并确保我们的解决方案可以帮助我们的客户遵守这些标准。 立即采取行动,不要等到被执法单位随机检查才后悔莫及。