Nouvel outil pour aider les développeurs à trouver et à corriger les faiblesses de sécurité dans le code propriétaire et les dépendances open source

20171108_synopsys_coverityfeat

Note de l'éditeur: Lorsqu'il s'agit de logiciels open source (OSS), de nombreux développeurs savent que l'abondance d'un tel code peut considérablement raccourcir leur courbe de développement. De nombreuses entreprises intègrent OSS dans leurs applications pour une mise sur le marché plus rapide. Mais quels sont les pièges? Dans le même temps, le code propriétaire peut être soumis à des vulnérabilités, à mesure que la complexité du code augmente. Synopsys, fournisseur leader de l'intégrité logicielle, présente une première solution AST pour aider les développeurs à analyser à la fois le code open source et le code propriétaire sans quitter leur IDE. La nouvelle version du fournisseur se trouve ci-dessous.

Synopsys annonce la première solution de test de sécurité des applications pour analyser à la fois le code Open Source et le code propriétaire sur le bureau du développeur

SINGAPOUR, @mcgallen #microwireinfo, 20 février 2020 - Synopsys, Inc. (Nasdaq: SNPS) a annoncé que le 18 février, il publierait une mise à jour majeure de la plate-forme d'intégrité logicielle Polaris pour étendre ses capacités de test de sécurité d'application statique (SAST) et d'analyse de composition logicielle (SCA) au bureau du développeur grâce à l'intégration native du plug-in Code Sight ™ IDE. Ces capacités, les premières du genre, permettront aux développeurs de trouver et de corriger de manière proactive les faiblesses de sécurité du code propriétaire et les vulnérabilités connues dans les dépendances open source simultanément, sans quitter leur environnement de développement interactif (IDE).

«Dans les environnements de développement modernes, les tests de sécurité doivent s'intégrer de manière transparente dans le flux de travail du développeur, mais doivent également couvrir à la fois le code propriétaire et le code tiers», a déclaré Simon King, vice-président des solutions chez Synopsys Software Integrity Group. «En fournissant des résultats SAST et maintenant SCA en temps réel dans l'EDI, Synopsys permet aux développeurs de détecter les défauts de sécurité à la fois dans leur propre code et dans les composants open source qu'ils exploitent - lorsqu'ils créent leurs applications. Les développeurs peuvent résoudre les problèmes en temps réel, évitant ainsi les risques et la perte de productivité lorsque les problèmes ne sont pas détectés pendant des jours, des semaines ou même des mois après le passage à d'autres tâches. Avec cette version, l'intégration native du plug-in Code Sight IDE permet aux développeurs de créer plus rapidement des logiciels sécurisés et de haute qualité. »

En savoir plus sur le nouveau plugin IDE Code Sight:

  • S'appuyant sur les capacités de Code Sight SAST introduites pour la première fois en 2019, cette version introduit la possibilité d'analyser les dépendances open source déclarées et transitives, en signalant les composants présentant des problèmes de sécurité connus aux côtés des résultats SAST dans l'EDI.
  • Avec les nouvelles fonctionnalités SCA, les développeurs peuvent examiner les vulnérabilités connues des composants signalés pour vérifier le risque et déterminer les options de correction, le tout sans quitter l'EDI.
  • Le plugin Code Sight fournit des informations sur la vulnérabilité Avis de sécurité Black Duck (BDSA), recherché par Synopsys, ainsi que des enregistrements publics CVE de la National Vulnerability Database (NVD).
  • Les BDSA fournissent aux développeurs des informations sur les risques et les mesures correctives plus opportunes, précises et approfondies que celles disponibles dans le NVD, les aidant à trouver et à corriger les vulnérabilités plus rapidement et plus efficacement que d'autres solutions.
  • Le plugin Code Sight aide également les développeurs à identifier et à sélectionner rapidement le meilleur correctif pour les vulnérabilités en fournissant des conseils de correction détaillés, en les dirigeant vers des versions de composants plus sécurisées. Les développeurs peuvent ensuite implémenter des correctifs à la fois, sans interrompre leur flux de travail ni quitter l'EDI.
  • En plus des informations de vulnérabilité, le plug-in Code Sight fournit d'autres informations que les développeurs peuvent utiliser pour optimiser la sélection des composants, y compris les risques de licence open source et les violations potentielles de sécurité et de conformité de licence des politiques open source prédéfinies de l'organisation.

Pour en savoir plus, lisez le article de ce blog.

À propos du groupe d'intégrité logicielle de Synopsys
Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys
Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys a les solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur www.synopsys.com.

###