Publié le

Note de l'éditeur: Si vous êtes dans DevSecOps, vous savez que vous n'êtes plus aux prises avec un simple code, mais une myriade de plates-formes, de langages, de devkits, d'API, de logiciels open source (OSS), sur un «océan» de besoins de vos dirigeants et utilisateurs. Bien que l'orchestration intelligente en tant que concept ne soit pas nouvelle, que se passerait-il si vous pouviez combiner l'analyse statique (SAST), dynamique (DAST), interactive (IAST) et de composition logicielle (SCA) en une seule solution pour votre analyse de code? ? Synopsys, le pilier de l'intégrité logicielle, l'annonce. La version du fournisseur est ci-dessous.

Synopsys présentera une nouvelle solution d'orchestration de la sécurité des applications lors de la conférence RSA

Innovative Intelligent Orchestration fournit des flux de travail de test de sécurité automatisés optimisés pour la vitesse et l'efficacité dans les pipelines DevOps

SINGAPOUR, @mcgallen #microwireinfo, 5 mai 2021 - Synopsys, Inc. (Nasdaq: SNPS) a annoncé aujourd'hui qu'il présenterait la nouvelle Orchestration intelligente solution à la conférence RSA du 17 au 20 mai. Intelligent Orchestration est un pipeline d'automatisation de la sécurité des applications dédié, optimisé pour la vitesse et l'efficacité, qui garantit que les bons tests de sécurité sont effectués au bon moment. Intelligent Orchestration, qui s'exécute en parallèle pour créer et publier des pipelines, utilise une technologie innovante pour déterminer et lancer automatiquement les tests de sécurité les plus appropriés, notamment l'analyse statique (SAST), dynamique (DAST), interactive (IAST) et de la composition logicielle (SCA) , sur la base de politiques de risque prédéfinies et des modifications apportées à une application.

Alors que le rythme et la complexité du développement logiciel augmentent, les équipes de sécurité et de développement de tous les secteurs ont reconnu qu'il était essentiel d'intégrer et d'automatiser les tests de sécurité dans leurs chaînes d'outils de développement et leurs flux de travail. Cependant, ils constatent souvent que cela peut ralentir les pipelines de développement et submerger les équipes de développement avec de gros volumes de résultats de tests, dont beaucoup ne nécessitent pas une attention immédiate.

Les concepts et la technologie derrière Intelligent Orchestration ont été développés et affinés grâce à des années d'expérience aidant les clients à relever ces défis, y compris une société de services financiers Fortune 500 qui subit un effort de transformation numérique important:

«Il est essentiel de tester vos applications critiques pour détecter les vulnérabilités de sécurité, mais lorsqu'il s'agit de produire des résultats exploitables et de gagner la confiance des développeurs dans un environnement DevOps, les tests que vous n'exécutez pas peuvent être tout aussi importants que les tests que vous exécutez, »A déclaré le directeur de la sécurité des applications pour le client des services financiers. «Éviter les cycles de test superflus et prioriser les vulnérabilités critiques qui présentent le plus de risques pour votre organisation est essentiel pour profiter des avantages de DevSecOps. Nous avons travaillé en étroite collaboration avec Synopsys alors qu'ils développaient leur solution Intelligent Orchestration pour résoudre les goulots d'étranglement DevSecOps avec lesquels nous étions aux prises. »

Intelligent Orchestration offre les fonctionnalités et avantages suivants:

  • Pipeline dédié «sécurité continue»: Intelligent Orchestration est un pipeline d'intégration continue (CI) dédié qui s'exécute en parallèle pour créer et publier des pipelines afin d'effectuer les tests de sécurité d'application nécessaires.
  • Intégration transparente avec les pipelines existants et les chaînes d'outils de développement: Intelligent Orchestration ne nécessite pas la réimplémentation des pipelines de génération et de publication. Au lieu de cela, il s'intègre facilement aux pipelines CI via de simples appels d'API. En outre, les intégrations DevOps extensibles permettent aux équipes d'incorporer des tests de sécurité des applications effectués par les outils Synopsys ainsi que des outils open source et tiers, et de fournir des résultats via les outils de développement, de gestion des risques et de suivi des problèmes qu'ils utilisent déjà.
  • S'assure que les bons tests sont exécutés au bon moment: Les équipes peuvent définir leurs stratégies de sécurité d'application sous forme de code, en spécifiant des règles pour l'analyse de sécurité, la notification et la correction. En utilisant une technologie innovante, Intelligent Orchestration utilise ensuite cette politique pour évaluer les modifications de code et d'autres événements SDLC afin de déclencher intelligemment les tests de sécurité appropriés, en maximisant la vitesse en effectuant uniquement les tests nécessaires lorsqu'ils sont nécessaires.
  • Fournit les bonnes informations aux bonnes équipes: Intelligent Orchestration optimise et standardise les rapports de sécurité des applications sur toute la gamme des outils de test de sécurité. Les résultats sont automatiquement filtrés et hiérarchisés en fonction du risque et livrés directement au sein des outils de développement et de suivi des défauts déjà utilisés par les équipes de développement, évitant ainsi la «surcharge de vulnérabilité» et permettant aux équipes d'obtenir un impact de risque maximal à un coût minimum.
  • Automatise le flux de travail pour les activités de test manuelles ou hors bande: Les politiques d'Intelligent Orchestration peuvent également déclencher des activités de sécurité manuelles telles que des tests de pénétration, via des systèmes de suivi des défauts et des canaux de communication, permettant aux équipes de sécurité de coordonner la conformité de la sécurité avec les workflows de développement.

«Chaque organisation qui adopte le DevOps rencontre des frictions lorsqu'elle intègre et automatise les tests de sécurité dans ses environnements DevOps», a déclaré Jason Schmitt, directeur général du groupe d'intégrité logicielle Synopsys. «L'automatisation de l'application des politiques de sécurité des applications dans l'ensemble de votre portefeuille et la gestion de volumes élevés de résultats de tests de sécurité, tout en essayant de suivre le rythme de l'accélération du développement, peut être une tâche ardue. Ces défis sont précisément ce à quoi Intelligent Orchestration est conçu pour répondre. Grâce à l'intelligence, à l'automatisation et à des intégrations étendues axées sur les politiques, Intelligent Orchestration rationalise les programmes de test de sécurité en fonction des risques et de l'itération continue. »

Pour en savoir plus ou pour planifier une démonstration, visitez le Page Web d'Intelligent Orchestration, lis le article de ce blog, ou inscrivez-vous au webinaire mai 26, 2021.

Regardez une vidéo ici.

À propos du groupe d'intégrité logicielle de Synopsys 

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que société du S&P 500, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et offre le plus large portefeuille d'outils et de services de test de sécurité des applications. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant un code plus sécurisé et de haute qualité, Synopsys dispose des solutions nécessaires pour fournir des produits innovants. En savoir plus sur www.synopsys.com.

###