Publié le

Note de l'éditeur : C'est une marche de vitesse, d'agilité, de performance et de sécurité, lorsqu'il s'agit de développement de logiciels. La plupart des entités conçoivent et déploient aujourd'hui du code à une vitesse supérieure à celle de leurs concurrents, avec un besoin de plus en plus rapide de mettre la cybersécurité à parité avec la vitesse de mise sur le marché. Synopsys, le leader de l'intégrité logicielle, annonce que ses solutions de test de sécurité des applications statiques Coverity (SAST) et ses solutions d'analyse de la composition logicielle (SCA) Black Duck sont désormais équipées de capacités d'analyse rapide, offrant une détection de vulnérabilité rapide et légère pour toute entité propriétaire ainsi en tant que code source ouvert utilisé dans de telles applications. La version du fournisseur est ci-dessous.

Synopsys fait progresser les tests de sécurité des applications pour les développeurs avec l'analyse rapide

Les nouvelles capacités d'analyse rapide de Coverity SAST et Black Duck SCA aident les équipes de développement à sécuriser les applications natives du cloud aussi rapidement qu'elles les écrivent

SINGAPOUR, @mcgallen #microwireinfo, 28 juillet 2021 - Synopsys, Inc. (Nasdaq: SNPS) a annoncé aujourd'hui la disponibilité de nouveaux Scan rapide au sein des solutions de test de sécurité des applications statiques Coverity (SAST) et d'analyse de la composition logicielle (SCA) de Black Duck. Les fonctionnalités d'analyse rapide fournissent une détection de vulnérabilité rapide et légère pour le code propriétaire et open source. Rapid Scan est optimisé pour les premières étapes du développement, en particulier pour les applications cloud natives et l'infrastructure en tant que code (IaC).

Bien que des tests de sécurité complets et approfondis soient essentiels à la gestion des risques dans les dernières étapes du cycle de vie du développement logiciel (SDLC), il est souvent trop coûteux en temps et en ressources d'effectuer des analyses complètes à chaque étape incrémentielle des premières étapes du SDLC. L'analyse rapide complète les activités de test de sécurité des applications conventionnelles en permettant aux équipes de développement d'effectuer des analyses SAST et SCA rapides à chaque enregistrement de code ou à chaque build à un stade précoce sans les ralentir. Il permet aux développeurs de se déplacer efficacement vers la gauche et empêche les problèmes de sécurité de se propager dans les étapes ultérieures du SDLC.

« L'une des caractéristiques du développement logiciel moderne est de décomposer les processus volumineux en tâches plus petites et plus faciles à gérer qui peuvent être exécutées rapidement et simultanément de manière distribuée », a déclaré Jason Schmitt, directeur général de Synopsys Software Integrity Group. « Pour les organisations qui adoptent DevSecOps, les tests de sécurité des applications doivent emboîter le pas. Avec Rapid Scan, Coverity et Black Duck, les utilisateurs peuvent exécuter des analyses préventives rapides pour détecter et éliminer les vulnérabilités au niveau de la surface pendant que leurs développeurs écrivent et valident le code, et ils peuvent utiliser les mêmes solutions pour exécuter des analyses approfondies plus tard dans le SDLC avant de déployer leurs applications . "

Les nouvelles capacités comprennent :

Scan de couverture rapide. Le nouveau système d’ Capacités de numérisation rapide de Coverity SAST fournir une analyse de sécurité rapide du code propriétaire sur le bureau du développeur et dans les pipelines d'intégration continue (CI) tels que GitLab et GitHub Actions. Coverity Rapid Scan est optimisé pour les applications natives du cloud basées sur des frameworks d'infrastructure en tant que code tels que Kubernetes, Terraform et CloudFormation, et des micro-services tels que GraphQL, Kafka et Postman. Rapid Scan peut détecter rapidement bon nombre des faiblesses de sécurité les plus courantes, ainsi que des défauts de configuration incorrects et des abus d'API.

Balayage rapide du canard noir. Le Capacités de numérisation rapide de Black Duck SCA permet aux développeurs et aux responsables de publication d'effectuer une analyse rapide des dépendances pour déterminer si l'un des composants open source de leur application enfreint les politiques de sécurité et de licence de leur organisation avant de fusionner le code dans les branches de publication. Black Duck Rapid Scan est optimisé pour la vitesse et l'efficacité en fournissant aux développeurs un aperçu précoce du risque de dépendance et en reportant les activités SCA gourmandes en ressources telles que la détection open source multifacteur et la génération d'une nomenclature logicielle complète aux étapes ultérieures du SDLC.

Orchestration intelligente et analyse rapide. Les capacités Coverity et Black Duck Rapid Scan peuvent être utilisées avec Synopsys Solution d'orchestration intelligentepour déclencher automatiquement des analyses SAST et SCA rapides en fonction des événements du pipeline d'intégration continue (CI). L'orchestration intelligente, qui permet aux équipes DevOps d'exécuter les bons tests de sécurité au bon moment, peut tirer parti de l'analyse rapide aux premiers stades du pipeline lorsque la vitesse et l'efficacité sont critiques, et elle peut exécuter des analyses complètes de Coverity et Black Duck à des stades ultérieurs de la pipeline lors de la validation de la qualité et de la sécurité des applications avant le déploiement.

Pour en savoir plus sur Rapid Scan for Coverity et Black Duck, lisez le article de ce blog.

À propos du groupe d'intégrité logicielle de Synopsys 

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que société du S&P 500, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et offre le plus large portefeuille d'outils et de services de test de sécurité des applications. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant un code plus sécurisé et de haute qualité, Synopsys dispose des solutions nécessaires pour fournir des produits innovants. En savoir plus sur www.synopsys.com.

###