新思科技上線新功能 推動安全“左移”

Rapid Scan助力開發(fā)人員加速應用安全測試

飛象網訊 安全“左移”已經成為軟件行業(yè)的共識，在軟件開發(fā)生命周期早期修復漏洞遠比在后期進行補救更加省時省力。借助應用安全測試工具掃描漏洞和缺陷是開發(fā)人員常用的方式，越快、越準確獲得掃描結果，修復就能越加及時。

近日，新思科技宣布在其Coverity靜態(tài)應用安全測試(SAST)及Black Duck軟件組件分析(SCA)中新添Rapid Scan快速掃描功能。Rapid Scan能為專有和開源代碼提供快速、輕量級漏洞檢測。Rapid Scan主要應用于開發(fā)的早期階段，在云原生應用和基礎架構即代碼 (IaC)檢測方面優(yōu)勢尤為明顯。

在軟件開發(fā)生命周期(SDLC)后期全面徹底的安全測試對于風險管理十分重要，但在早期階段，每個增量步驟執(zhí)行完整掃描通常太耗費時間和資源。Rapid Scan可作為對傳統應用安全測試活動的補充，方便開發(fā)團隊能夠在每次代碼簽入或早期建構時執(zhí)行快速 SAST 和 SCA 掃描，且不會拖慢開發(fā)速度。它使開發(fā)人員有效地將安全“左移”并防止安全問題延續(xù)到 SDLC 的后期階段。

新思科技軟件質量與安全部門總經理Jason Schmitt指出：“現代軟件開發(fā)的標志之一是將大型流程分解為更小、更易于管理的任務。這些任務可以以分布式的方式快速同時執(zhí)行。對于采用 DevSecOps 的企業(yè)來說，應用安全測試也需要與時俱進。借助Rapid Scan功能，Coverity和Black Duck的用戶可以在開發(fā)人員編寫和提交代碼時運行快速預防性掃描，以檢測和修復常見漏洞，并在SDLC的后續(xù)階段（部署應用前）使用相同的方案進行深度掃描�！�

新功能包括：

Coverity Rapid Scan快速掃描：全新Coverity SAST的快速掃描功能可在開發(fā)人員的桌面和持續(xù)集成 (CI) 管道（如 GitLab 和 GitHub Actions）中對專有代碼進行快速安全分析。Coverity Rapid Scan 面向基于IaC（例如 Kubernetes、Terraform 和 CloudFormation）以及微服務（例如 GraphQL、Kafka 和 Postman）構建的云原生應用。Rapid Scan可以快速識別許多最常見的安全漏洞，以及有問題的錯誤配置缺陷和 API 濫用。

Black Duck Rapid Scan快速掃描：Black Duck SCA的快速掃描功能允許開發(fā)人員和發(fā)布經理執(zhí)行快速依賴項分析，以確定在將代碼合并到發(fā)布分支之前，應用中的開源組件是否違反了企業(yè)的安全和許可政策。Black Duck Rapid Scan為開發(fā)人員提供了對依賴風險的早期洞察，并將資源密集型 SCA 活動（例如多因素開源檢測及生成完整軟件物料清單）推遲到 SDLC 的后期階段，從而對速度和效率進行了優(yōu)化。

Intelligent Orchestration以及Rapid Scan：Coverity 和 Black Duck 快速掃描功能可與 新思科技Intelligent Orchestration解決方案結合使用，根據CI管道中的事件自動觸發(fā)快速 SAST 和 SCA 掃描。Intelligent Orchestration使 DevOps 團隊能夠在正確的時間運行合適的安全測試；可以在管道的早期階段利用Rapid Scan提升速度與效率；在部署之前驗證應用的質量和安全，可以在管道的后期階段運行完整的 Coverity 和 Black Duck 掃描。