从我们开的汽车到我们所使用的移动设备,软件产品已经被应用到了我们生活中的方方面面。随着世界全面步入数字化时代,新的安全威胁也随之产生。软件产品的盗版问题首次出现在上个世纪的八十年代,但是现在看来它已经不再是软件行业所面临的唯一的威胁了。而现如今,对于软件产品的更大的威胁则是来自逆向工程和代码篡改,而不仅仅只是直接的窃取。
对于一个典型的软件公司而言,其所拥有的知识产权占了整个公司市场价值中的绝大部分。而对于智能设备生产商而言,由于他们所做的其实就是不断地在商业硬件上面以软件产品的形式开发知识产权,所以这里的情况与典型的软件公司是一样的。软件的开发人员倾注了大量的时间和资金来开发和创造出他们的独一无二的产品,但是如果没有使用合适的策略以及有效的安全保障手段的话,他们就可能在诸如营业收入、顾客数量、企业竞争力以及品牌的总体价值这些方面遭受巨大的损失。
来自 SafeNet 的一份最近的调查中指出有 33% 的软件厂商认为逆向工程和窃取对他们的业务已经造成了明显的影响,并且还有多达 63% 的受访者都认为以代码保护的方式来防止逆向工程是一项非常困难的任务。
由于逆向工程可能会导致竞争对手通过效仿市面上已有的产品而快速地开发出另外一款具有竞争性的产品,因此在如今的市场当中,如何能够通过保护那些具有创新性和唯一性的产品不受逆向工程侵害的方法来巩固企业的竞争优势对软件厂商而言是至关重要的。
随着商业间谍活动变得越来越普遍,包括代码、算法、应用的数据文件和行业机密在内的那些具有很高价值的软件知识产权会面临着来自竞争对手的窥探、逆向工程、窃取以及山寨等等的威胁。
举个例子,假设一家印刷公司发明了一种新方法可以在复杂基材上面(例如玻璃)使用廉价墨水进行打印,而市场上的其它竞争对手都还无法做到这一点。但是由于运行打印机的软件系统没有经过保护,所以竞争对手就可以很容易地通过分析代码来搞清楚该方法的实现原理,并且很快地就会推出一款山寨的版本。这样最先发明该方法的印刷公司的竞争优势就会变得荡然无存了,其结果就是导致市场份额的丢失。
如同行业机密的窃取可能会给企业带来灾难性的后果一样,对于许多软件系统和智能设备的厂商而言,代码篡改也会构成同样巨大的威胁。代码篡改实际上就是一些人通过某种方法获得了我们软件系统源代码的访问权,并且改变了产品的工作方式。代码篡改可能是某些人出于恶意而故意为之,但也可能是一些人原本是出于好意但是不小心所造成的。而由于终端用户造成的意外的代码篡改经常很难被发现,直到它们对产品造成了无法挽回的损失。
这里再举个例子,一台医用诊断设备使用了一套内部的软件系统来控制如何运行对病人的检查。一位系统管理员则认为该系统运行得太过缓慢,并且决定对软件系统代码中的标准设置进行一些“调整”从而使得检测的计算速度比以前快了 20%。任务完成了,而且在“调整”后确实医院能够每天检查更多的病人了。虽然这里并不存在主观恶意,但是由于这种对诊断过程的加速使得该设备现在不能满足多项医药行业的规章,并且这种不符合规定的设备现在反而变成了设备或者软件系统厂商的责任。
缺少了合适的加密以及代码混淆技术,软件系统的开发人员在不知不觉中就会使他们的代码暴露于代码篡改和逆向工程这些安全威胁之下。通过对软件系统源代码的访问权限进行有效的控制,软件系统的发行商以及智能设备的生产商一方面可以保障收入,另一方面还可以保护自己产品的完整性和品牌的形象。
虽然据有关调查显示,大量的软件系统发行商担心他们的业务会由于知识产权保护的缺失而受到负面影响,但调查中还显示了只有很少一部分软件系统发行商真正采取了所需的主动防御措施来保证其知识产权得到恰当的保护。
这里我们不禁想问,为什么没有更多的软件厂商愿意投入更多的精力来保护他们自己的知识产权呢?实际上,有些时候他们在所面临的挑战面前退缩了,有些时候他们可能无法得到来自高层的支持来开发出一套值得信赖的安全保障机制。或者也可能是因为他们干脆就还没有经历过一场知识产权灾难,因此还没有意识到这个威胁对于他们整体业务影响的严重性。
软件的盗版随着时间的推移会造成收入流失,而相比之下逆向工程和代码篡改所造成的影响则是毁灭性的,它们可以在一夜之间改变市场格局,而这种损失几乎是不可能再恢复的。
因此如果能够找到一些方法来减少或者杜绝软件系统的盗版、逆向工程和代码篡改则将会使多方受益。一方面,终端用户可以放心地使用来自发行商的、真实反映发行商意图的应用程序,并且能够享受所提供的售后支持和保修服务。另一方面对于整个软件行业而言,这样做会鼓励厂商生产高质量的产品,促进市场竞争以及更好的产品的研发。
对于软件系统发行商而言,采取积极主动的措施,通过部署针对软件系统的保护策略来保护他们的知识产权免受那些由于不法的使用、拷贝、窃取和篡改所造成的侵害是至关重要的。对于大多数企业来说,采用一个商业的软件版权管理解决方案能够为他们提供足够的安全保障功能,并且还不用为如何开发内部的安全保障措施而头疼,毕竟大多数企业并不擅长做这些事情。这种商业的解决方案主要由自动的文件封装技术组成,能够通过文件加密、代码混淆以及系统级的反调试等等这些手段来对知识产权进行强有力的保护,确保编写在软件中的那些算法、行业机密以及专有技术不会被没有取得授权的人员所访问。
通过对软件系统源代码的访问权限进行主动且有效的控制,软件系统的发行商可以保护他们自己免受逆向工程和代码篡改的侵害,还能增加企业的收入以及维护品牌的整体形象。
关于作者
Michelle Nerlinger
是 SafeNet 公司市场部的 VP。SafeNet 公司是专注于提供软件货币化及数据保护解决方案的全球领先的供应商。她在软件许可和授权管理、软件配置、知识产权控制以及使用监控方面有着丰富的经验,而这些恰恰就是有效地实施软件货币化所需的关键因素。Michelle 以优异的成绩毕业于位于 Baltimore 的 Towson 大学,并获得了市场营销和大众传媒专业的双学位。
查看英文原文 :Beyond Piracy: Software Publishers Battle Greater Threats to Their Intellectual Property
感谢崔康对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博()或者腾讯微博()关注我们,并与我们的编辑和其他读者朋友交流。
