新思科技上線新功能 推動安全“左移”

Rapid Scan助力開發(fā)人員加速應(yīng)用安全測試

飛象網(wǎng)訊 安全“左移”已經(jīng)成為軟件行業(yè)的共識，在軟件開發(fā)生命周期早期修復(fù)漏洞遠(yuǎn)比在后期進(jìn)行補(bǔ)救更加省時(shí)省力。借助應(yīng)用安全測試工具掃描漏洞和缺陷是開發(fā)人員常用的方式，越快、越準(zhǔn)確獲得掃描結(jié)果，修復(fù)就能越加及時(shí)。

近日，新思科技宣布在其Coverity靜態(tài)應(yīng)用安全測試(SAST)及Black Duck軟件組件分析(SCA)中新添Rapid Scan快速掃描功能。Rapid Scan能為專有和開源代碼提供快速、輕量級漏洞檢測。Rapid Scan主要應(yīng)用于開發(fā)的早期階段，在云原生應(yīng)用和基礎(chǔ)架構(gòu)即代碼 (IaC)檢測方面優(yōu)勢尤為明顯。

在軟件開發(fā)生命周期(SDLC)后期全面徹底的安全測試對于風(fēng)險(xiǎn)管理十分重要，但在早期階段，每個(gè)增量步驟執(zhí)行完整掃描通常太耗費(fèi)時(shí)間和資源。Rapid Scan可作為對傳統(tǒng)應(yīng)用安全測試活動的補(bǔ)充，方便開發(fā)團(tuán)隊(duì)能夠在每次代碼簽入或早期建構(gòu)時(shí)執(zhí)行快速 SAST 和 SCA 掃描，且不會拖慢開發(fā)速度。它使開發(fā)人員有效地將安全“左移”并防止安全問題延續(xù)到 SDLC 的后期階段。

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt指出：“現(xiàn)代軟件開發(fā)的標(biāo)志之一是將大型流程分解為更小、更易于管理的任務(wù)。這些任務(wù)可以以分布式的方式快速同時(shí)執(zhí)行。對于采用 DevSecOps 的企業(yè)來說，應(yīng)用安全測試也需要與時(shí)俱進(jìn)。借助Rapid Scan功能，Coverity和Black Duck的用戶可以在開發(fā)人員編寫和提交代碼時(shí)運(yùn)行快速預(yù)防性掃描，以檢測和修復(fù)常見漏洞，并在SDLC的后續(xù)階段（部署應(yīng)用前）使用相同的方案進(jìn)行深度掃描。”

新功能包括：

Coverity Rapid Scan快速掃描：全新Coverity SAST的快速掃描功能可在開發(fā)人員的桌面和持續(xù)集成 (CI) 管道（如 GitLab 和 GitHub Actions）中對專有代碼進(jìn)行快速安全分析。Coverity Rapid Scan 面向基于IaC（例如 Kubernetes、Terraform 和 CloudFormation）以及微服務(wù)（例如 GraphQL、Kafka 和 Postman）構(gòu)建的云原生應(yīng)用。Rapid Scan可以快速識別許多最常見的安全漏洞，以及有問題的錯(cuò)誤配置缺陷和 API 濫用。

Black Duck Rapid Scan快速掃描：Black Duck SCA的快速掃描功能允許開發(fā)人員和發(fā)布經(jīng)理執(zhí)行快速依賴項(xiàng)分析，以確定在將代碼合并到發(fā)布分支之前，應(yīng)用中的開源組件是否違反了企業(yè)的安全和許可政策。Black Duck Rapid Scan為開發(fā)人員提供了對依賴風(fēng)險(xiǎn)的早期洞察，并將資源密集型 SCA 活動（例如多因素開源檢測及生成完整軟件物料清單）推遲到 SDLC 的后期階段，從而對速度和效率進(jìn)行了優(yōu)化。

Intelligent Orchestration以及Rapid Scan：Coverity 和 Black Duck 快速掃描功能可與 新思科技Intelligent Orchestration解決方案結(jié)合使用，根據(jù)CI管道中的事件自動觸發(fā)快速 SAST 和 SCA 掃描。Intelligent Orchestration使 DevOps 團(tuán)隊(duì)能夠在正確的時(shí)間運(yùn)行合適的安全測試；可以在管道的早期階段利用Rapid Scan提升速度與效率；在部署之前驗(yàn)證應(yīng)用的質(zhì)量和安全，可以在管道的后期階段運(yùn)行完整的 Coverity 和 Black Duck 掃描。