首頁|必讀|視頻|專訪|運(yùn)營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁 >> 技術(shù) >> 正文

新思科技上線新功能 推動(dòng)安全“左移”

2021年8月13日 10:33  CCTIME飛象網(wǎng)  

Rapid Scan助力開發(fā)人員加速應(yīng)用安全測試

飛象網(wǎng)訊 安全“左移”已經(jīng)成為軟件行業(yè)的共識,在軟件開發(fā)生命周期早期修復(fù)漏洞遠(yuǎn)比在后期進(jìn)行補(bǔ)救更加省時(shí)省力。借助應(yīng)用安全測試工具掃描漏洞和缺陷是開發(fā)人員常用的方式,越快、越準(zhǔn)確獲得掃描結(jié)果,修復(fù)就能越加及時(shí)。

近日,新思科技宣布在其Coverity靜態(tài)應(yīng)用安全測試(SAST)及Black Duck軟件組件分析(SCA)中新添Rapid Scan快速掃描功能。Rapid Scan能為專有和開源代碼提供快速、輕量級漏洞檢測。Rapid Scan主要應(yīng)用于開發(fā)的早期階段,在云原生應(yīng)用和基礎(chǔ)架構(gòu)即代碼 (IaC)檢測方面優(yōu)勢尤為明顯。

在軟件開發(fā)生命周期(SDLC)后期全面徹底的安全測試對于風(fēng)險(xiǎn)管理十分重要,但在早期階段,每個(gè)增量步驟執(zhí)行完整掃描通常太耗費(fèi)時(shí)間和資源。Rapid Scan可作為對傳統(tǒng)應(yīng)用安全測試活動(dòng)的補(bǔ)充,方便開發(fā)團(tuán)隊(duì)能夠在每次代碼簽入或早期建構(gòu)時(shí)執(zhí)行快速 SAST 和 SCA 掃描,且不會(huì)拖慢開發(fā)速度。它使開發(fā)人員有效地將安全“左移”并防止安全問題延續(xù)到 SDLC 的后期階段。

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt指出:“現(xiàn)代軟件開發(fā)的標(biāo)志之一是將大型流程分解為更小、更易于管理的任務(wù)。這些任務(wù)可以以分布式的方式快速同時(shí)執(zhí)行。對于采用 DevSecOps 的企業(yè)來說,應(yīng)用安全測試也需要與時(shí)俱進(jìn)。借助Rapid Scan功能,Coverity和Black Duck的用戶可以在開發(fā)人員編寫和提交代碼時(shí)運(yùn)行快速預(yù)防性掃描,以檢測和修復(fù)常見漏洞,并在SDLC的后續(xù)階段(部署應(yīng)用前)使用相同的方案進(jìn)行深度掃描。”

新功能包括:

Coverity Rapid Scan快速掃描:全新Coverity SAST的快速掃描功能可在開發(fā)人員的桌面和持續(xù)集成 (CI) 管道(如 GitLab 和 GitHub Actions)中對專有代碼進(jìn)行快速安全分析。Coverity Rapid Scan 面向基于IaC(例如 Kubernetes、Terraform 和 CloudFormation)以及微服務(wù)(例如 GraphQL、Kafka 和 Postman)構(gòu)建的云原生應(yīng)用。Rapid Scan可以快速識別許多最常見的安全漏洞,以及有問題的錯(cuò)誤配置缺陷和 API 濫用。

Black Duck Rapid Scan快速掃描:Black Duck SCA的快速掃描功能允許開發(fā)人員和發(fā)布經(jīng)理執(zhí)行快速依賴項(xiàng)分析,以確定在將代碼合并到發(fā)布分支之前,應(yīng)用中的開源組件是否違反了企業(yè)的安全和許可政策。Black Duck Rapid Scan為開發(fā)人員提供了對依賴風(fēng)險(xiǎn)的早期洞察,并將資源密集型 SCA 活動(dòng)(例如多因素開源檢測及生成完整軟件物料清單)推遲到 SDLC 的后期階段,從而對速度和效率進(jìn)行了優(yōu)化。

Intelligent Orchestration以及Rapid Scan:Coverity 和 Black Duck 快速掃描功能可與 新思科技Intelligent Orchestration解決方案結(jié)合使用,根據(jù)CI管道中的事件自動(dòng)觸發(fā)快速 SAST 和 SCA 掃描。Intelligent Orchestration使 DevOps 團(tuán)隊(duì)能夠在正確的時(shí)間運(yùn)行合適的安全測試;可以在管道的早期階段利用Rapid Scan提升速度與效率;在部署之前驗(yàn)證應(yīng)用的質(zhì)量和安全,可以在管道的后期階段運(yùn)行完整的 Coverity 和 Black Duck 掃描。

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬倚聞澐至酥蓄l段6G頻譜資源
精彩專題
專題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國5G商用四周年
2023年中國國際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號 京公網(wǎng)安備110105000771號
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像