Rapid Scan助力開發(fā)人員加速應(yīng)用安全測試
飛象網(wǎng)訊 安全“左移”已經(jīng)成為軟件行業(yè)的共識,在軟件開發(fā)生命周期早期修復(fù)漏洞遠(yuǎn)比在后期進(jìn)行補(bǔ)救更加省時(shí)省力。借助應(yīng)用安全測試工具掃描漏洞和缺陷是開發(fā)人員常用的方式,越快、越準(zhǔn)確獲得掃描結(jié)果,修復(fù)就能越加及時(shí)。
近日,新思科技宣布在其Coverity靜態(tài)應(yīng)用安全測試(SAST)及Black Duck軟件組件分析(SCA)中新添Rapid Scan快速掃描功能。Rapid Scan能為專有和開源代碼提供快速、輕量級漏洞檢測。Rapid Scan主要應(yīng)用于開發(fā)的早期階段,在云原生應(yīng)用和基礎(chǔ)架構(gòu)即代碼 (IaC)檢測方面優(yōu)勢尤為明顯。
在軟件開發(fā)生命周期(SDLC)后期全面徹底的安全測試對于風(fēng)險(xiǎn)管理十分重要,但在早期階段,每個(gè)增量步驟執(zhí)行完整掃描通常太耗費(fèi)時(shí)間和資源。Rapid Scan可作為對傳統(tǒng)應(yīng)用安全測試活動(dòng)的補(bǔ)充,方便開發(fā)團(tuán)隊(duì)能夠在每次代碼簽入或早期建構(gòu)時(shí)執(zhí)行快速 SAST 和 SCA 掃描,且不會(huì)拖慢開發(fā)速度。它使開發(fā)人員有效地將安全“左移”并防止安全問題延續(xù)到 SDLC 的后期階段。
新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt指出:“現(xiàn)代軟件開發(fā)的標(biāo)志之一是將大型流程分解為更小、更易于管理的任務(wù)。這些任務(wù)可以以分布式的方式快速同時(shí)執(zhí)行。對于采用 DevSecOps 的企業(yè)來說,應(yīng)用安全測試也需要與時(shí)俱進(jìn)。借助Rapid Scan功能,Coverity和Black Duck的用戶可以在開發(fā)人員編寫和提交代碼時(shí)運(yùn)行快速預(yù)防性掃描,以檢測和修復(fù)常見漏洞,并在SDLC的后續(xù)階段(部署應(yīng)用前)使用相同的方案進(jìn)行深度掃描。”
新功能包括:
Coverity Rapid Scan快速掃描:全新Coverity SAST的快速掃描功能可在開發(fā)人員的桌面和持續(xù)集成 (CI) 管道(如 GitLab 和 GitHub Actions)中對專有代碼進(jìn)行快速安全分析。Coverity Rapid Scan 面向基于IaC(例如 Kubernetes、Terraform 和 CloudFormation)以及微服務(wù)(例如 GraphQL、Kafka 和 Postman)構(gòu)建的云原生應(yīng)用。Rapid Scan可以快速識別許多最常見的安全漏洞,以及有問題的錯(cuò)誤配置缺陷和 API 濫用。
Black Duck Rapid Scan快速掃描:Black Duck SCA的快速掃描功能允許開發(fā)人員和發(fā)布經(jīng)理執(zhí)行快速依賴項(xiàng)分析,以確定在將代碼合并到發(fā)布分支之前,應(yīng)用中的開源組件是否違反了企業(yè)的安全和許可政策。Black Duck Rapid Scan為開發(fā)人員提供了對依賴風(fēng)險(xiǎn)的早期洞察,并將資源密集型 SCA 活動(dòng)(例如多因素開源檢測及生成完整軟件物料清單)推遲到 SDLC 的后期階段,從而對速度和效率進(jìn)行了優(yōu)化。
Intelligent Orchestration以及Rapid Scan:Coverity 和 Black Duck 快速掃描功能可與 新思科技Intelligent Orchestration解決方案結(jié)合使用,根據(jù)CI管道中的事件自動(dòng)觸發(fā)快速 SAST 和 SCA 掃描。Intelligent Orchestration使 DevOps 團(tuán)隊(duì)能夠在正確的時(shí)間運(yùn)行合適的安全測試;可以在管道的早期階段利用Rapid Scan提升速度與效率;在部署之前驗(yàn)證應(yīng)用的質(zhì)量和安全,可以在管道的后期階段運(yùn)行完整的 Coverity 和 Black Duck 掃描。