- 在 整個軟件開發(fā)生命周期(SDLC)中集成應(yīng)用程序安全性
- 盡早找到并修復(fù)安全缺陷
- 全面了解應(yīng)用程序安全風(fēng)險
- 使用現(xiàn)有工具自動執(zhí)行安全測試
- 一個平臺,多個引擎
美國新思科技公司 (Synopsys, Nasdaq: SNPS)近日宣布發(fā)布其全新的Polaris軟件完整性平臺。Polaris軟件完整性平臺將新思科技軟件質(zhì)量與安全的產(chǎn)品和服務(wù)的強(qiáng)大功能整合到一個集成解決方案中,幫助安全和開發(fā)團(tuán)隊(duì)更快地構(gòu)建安全、優(yōu)質(zhì)的軟件。
新思科技Polaris軟件完整性平臺是一個基于云端的平臺,通過結(jié)合新思科技Code Sight? IDE插件和集中式分析服務(wù)器,共享相同的強(qiáng)大分析引擎,簡化并且實(shí)現(xiàn)從開發(fā)到部署的全面的應(yīng)用程序安全性;與流行的開發(fā)和運(yùn)營工具的廣泛集成;報告、儀表板和API提供應(yīng)用程序安全風(fēng)險的統(tǒng)一視圖。通過Polaris軟件完整性平臺,團(tuán)隊(duì)可以在開發(fā)早期檢測和修復(fù)漏洞,并且在整個軟件開發(fā)生命周期(SDLC)中集成和自動化全面的安全分析,在整個應(yīng)用程序組合中全面管理應(yīng)用程序安全風(fēng)險。
新思科技軟件質(zhì)量與安全部門總經(jīng)理Andreas Kuehlmann表示:“為了有效保護(hù)應(yīng)用程序免受日益增長的復(fù)雜攻擊,企業(yè)需要在SDLC多個點(diǎn)中采用安全測試技術(shù)的組合。但是為了確保開發(fā)速度以保持競爭力,他們也需要能夠與不斷增速的軟件開發(fā)流程相匹配的應(yīng)用程序安全解決方案,并且可以擴(kuò)展、可以與現(xiàn)有的開發(fā)基礎(chǔ)架構(gòu)無縫集成。在過去的幾年中,我們開發(fā)了一系列差異化產(chǎn)品和服務(wù),以滿足市場上的安全測試需求。我們致力于推動這些解決方案的協(xié)同增效作用并且提升使用效率,Polaris軟件完整性平臺有助于實(shí)現(xiàn)這個愿景。”
權(quán)威調(diào)研機(jī)構(gòu)Gartner表明,“隨著DevOps在快速交付和新IT支持功能的創(chuàng)新方面越來越受歡迎,對安全性和合規(guī)性的擔(dān)憂也隨之增加。安全和風(fēng)險管理領(lǐng)導(dǎo)需要在不影響開發(fā)進(jìn)程的情況下,使安全工具、流程和策略適應(yīng)DevOps工具鏈。”
Polaris軟件完整性平臺的裨益包括以下幾點(diǎn):
早期風(fēng)險發(fā)現(xiàn)和遷移 - Polaris軟件完整性平臺可幫助開發(fā)人員在開發(fā)過程中盡早修復(fù)安全漏洞,同時提高效率和成本效益。新的Code Sight IDE插件是Polaris軟件完整性平臺的一個關(guān)鍵組件,可以將新思科技的解決方案擴(kuò)展到開發(fā)人員的本地工作環(huán)境,使他們能夠在編寫代碼時輕松查找和修復(fù)代碼中的安全漏洞。Code Sight最初可用于IntelliJ, Visual Studio, 和Eclipse,它將與平臺中央服務(wù)器相同的強(qiáng)大分析引擎和快速增量分析相結(jié)合,在不影響生產(chǎn)效率的前提下,確保全面、一致的結(jié)果。Code Sight還提供上下文敏感的電子教學(xué)模塊,幫助開發(fā)人員快速解決問題,并培訓(xùn)他們今后編寫更安全的代碼。
- 從檢測到預(yù)防向左推移 - Polaris軟件完整性平臺是在中央服務(wù)器上使用相同功能強(qiáng)大的分析引擎作為CI / CD管道的一部分,以及在開發(fā)人員桌面上進(jìn)行快速增量掃描的唯一解決方案。它使開發(fā)人員能夠在編寫代碼時解決漏洞,從而在將其檢入存儲庫之前生成更安全的代碼庫。這種雙重工作流程顯著提升了開發(fā)人員的工作效率,而集中式分析可以在投產(chǎn)之前捕獲任何剩余缺陷。
- 簡單和靈活地運(yùn)營 - Polaris軟件完整性平臺基于云端的中央服務(wù)器通過直觀的web管理用戶界面,使用多個新思科技分析引擎,比如Coverity和Black Duck,提供部署管理、啟動安全掃描、分析結(jié)果和協(xié)調(diào)修復(fù)活動的靈活性。平臺還使用現(xiàn)有的開發(fā)和DevOps工具,包括Jenkins, Jira, Slack, Red Hat OpenShift和 Kubernetes,為團(tuán)隊(duì)提供整個SDLC過程中集成和自動化應(yīng)用程序安全分析的靈活性。
- 綜合風(fēng)險報告 - Polaris軟件完整性平臺幫助安全團(tuán)隊(duì)全面查看應(yīng)用程序安全風(fēng)險,綜合報告和交互式儀表板將來自于多個安全分析引擎的信息。這些信息整合到應(yīng)用程序組合中,并隨著時間的推移得出結(jié)果。除此之外,Polaris 軟件完整性平臺API 使團(tuán)隊(duì)可以輕松地將新思科技安全測試結(jié)果集成到第三方安全和風(fēng)險報告解決方案中。
了解更多信息,請?jiān)L問Polaris軟件完整性平臺官網(wǎng) https://www.synopsys.com/zh-cn/software-integrity/polaris.html。
1. 來源:Gartner, “Integrating Security Into the DevSecOps Toolchain”,作者為Mark Horvath, Neil MacDonald 和 Ayal Tirosh,發(fā)表于2017年10月3日。