Neues Tool, mit dem Entwickler Sicherheitslücken in proprietärem Code und Open Source-Abhängigkeiten finden und beheben können

20171108_synopsys_coverityfeat

Anmerkung des Herausgebers: Wenn es um Open Source-Software (OSS) geht, wissen viele Entwickler, dass die Fülle dieses Codes ihre Entwicklungskurve dramatisch verkürzen kann. Viele Unternehmen binden OSS in ihre Anwendungen ein, um die Markteinführung zu beschleunigen. Aber was sind die Fallstricke? Gleichzeitig kann proprietärer Code mit zunehmender Codekomplexität mit Schwachstellen behaftet sein. Führender Anbieter von Software-Integrität Synopsys stellt eine erste AST-Lösung vor, mit der Entwickler sowohl Open Source- als auch proprietären Code analysieren können, ohne ihre IDE zu verlassen. Die neue Version des Anbieters finden Sie unten.

Synopsys kündigt erste Lösung zum Testen der Anwendungssicherheit an, mit der sowohl Open Source- als auch proprietärer Code auf dem Desktop des Entwicklers analysiert werden können

SINGAPUR, @mcgallen #microwireinfo, 20. Februar 2020 - Synopsys, Inc. (Nasdaq: SNPS) gab bekannt, dass am 18. Februar ein umfangreiches Update für die Polaris Software Integrity Platform veröffentlicht wirdErweiterung der Funktionen für statische Anwendungssicherheitstests (SAST) und Software Composition Analysis (SCA) auf den Desktop des Entwicklers durch die native Integration des Code Sight ™ IDE-Plugins. Diese Funktionen, die erste ihrer Art, ermöglichen es Entwicklern, proaktiv Sicherheitslücken in proprietärem Code und bekannte Schwachstellen in Open Source-Abhängigkeiten gleichzeitig zu finden und zu beheben, ohne ihre interaktive Entwicklungsumgebung (IDE) zu verlassen.

"In modernen Entwicklungsumgebungen müssen Sicherheitstests nahtlos in den Workflow des Entwicklers integriert werden, aber auch proprietären Code und Code von Drittanbietern", sagte Simon King, Vice President für Lösungen bei der Synopsys Software Integrity Group. „Durch die gemeinsame Bereitstellung von SAST- und SCA-Ergebnissen in Echtzeit in der IDE ermöglicht Synopsys Entwicklern, Sicherheitsmängel sowohl in ihrem eigenen Code als auch in den Open Source-Komponenten zu erkennen, die sie nutzen - während sie ihre Anwendungen erstellen. Entwickler können Probleme in Echtzeit beheben und so Risiken und Produktivitätsverluste vermeiden, wenn Probleme tagelang, wochenlang oder sogar monatelang unentdeckt bleiben, nachdem sie andere Aufgaben übernommen haben. Mit dieser Version ermöglicht die native Integration des Code Sight IDE-Plugins Entwicklern, sichere und qualitativ hochwertige Software schneller zu erstellen. “

Weitere Informationen zum neuen Code Sight IDE-Plugin:

  • Aufbauend auf den 2019 erstmals eingeführten Code Sight SAST-Funktionen bietet diese Version die Möglichkeit, deklarierte und transitive Open Source-Abhängigkeiten zu analysieren und Komponenten mit bekannten Sicherheitsproblemen neben den SAST-Ergebnissen in der IDE zu kennzeichnen.
  • Mit den neuen SCA-Funktionen können Entwickler bekannte Schwachstellen markierter Komponenten überprüfen, um das Risiko zu überprüfen und Korrekturoptionen zu ermitteln, ohne die IDE zu verlassen.
  • Das Code Sight-Plugin bietet Informationen zu Sicherheitslücken von Black Duck Security Advisories (BDSAs), recherchiert von Synopsys, sowie öffentliche CVE-Aufzeichnungen aus der National Vulnerability Database (NVD).
  • BDSAs bieten Entwicklern aktuellere, genauere und gründlichere Informationen zu Risiken und Abhilfemaßnahmen als in der NVD verfügbar, sodass sie Schwachstellen schneller und effektiver als andere Lösungen finden und beheben können.
  • Das Code Sight-Plugin hilft Entwicklern außerdem dabei, schnell die beste Lösung für Schwachstellen zu finden und auszuwählen, indem es detaillierte Anleitungen zur Behebung bereitstellt und sie zu sichereren Komponentenversionen weiterleitet. Entwickler können dann sofort Korrekturen implementieren, ohne ihren Workflow zu unterbrechen oder die IDE zu verlassen.
  • Zusätzlich zu Informationen zu Sicherheitslücken bietet das Code Sight-Plugin weitere Informationen, mit denen Entwickler die Komponentenauswahl optimieren können, einschließlich Open Source-Lizenzrisiken und potenzieller Verstöße gegen die Sicherheits- und Lizenzkonformität der vordefinierten Open Source-Richtlinien des Unternehmens.

Um mehr zu erfahren, lesen Sie die Blog-Post.

Informationen zur Synopsys Software Integrity Group 
Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter www.synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als das 15. größte Softwareunternehmen der Welt hat Synopsys eine lange Geschichte als weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und baut seine Führungsposition bei Softwaresicherheits- und Qualitätslösungen aus. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, qualitativ hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###