发表于

编者按:在软件开发方面,这是速度、敏捷性、性能和安全性的一次进军。 如今,大多数实体以超越竞争对手的速度设计和部署代码,并且需要将网络安全与上市速度同步。 软件完整性领域的领导者 Synopsys 宣布,其 Coverity 静态应用程序安全测试 (SAST) 和 Black Duck 软件组合分析 (SCA) 解决方案现已配备快速扫描功能,可为任何实体的专有提供快速且轻量级的漏洞检测作为此类应用程序中使用的开源代码。 供应商的版本如下。

Synopsys 通过快速扫描为开发人员推进应用程序安全测试

Coverity SAST 和 Black Duck SCA 中新的快速扫描功能可帮助开发团队在编写云原生应用程序时尽快保护它们

新加坡,@mcgallen#microwire资讯,28年2021月XNUMX日Synopsys,Inc. (纳斯达克: SNPS) 今天宣布推出新的 快速扫描 公司的 Coverity 静态应用程序安全测试 (SAST) 和 Black Duck 软件组合分析 (SCA) 解决方案中的功能。 快速扫描功能为专有和开源代码提供快速、轻量级的漏洞检测。 Rapid Scan 针对开发的早期阶段进行了优化,特别是针对云原生应用程序和基础架构即代码 (IaC)。

虽然全面和彻底的安全测试对于软件开发生命周期 (SDLC) 后期阶段的风险管理至关重要,但在 SDLC 早期阶段的每个增量步骤中执行完整扫描通常过于耗费时间和资源。 快速扫描使开发团队能够在每次代码签入或早期构建时执行快速 SAST 和 SCA 扫描,而不会减慢它们的速度,从而补充传统的应用程序安全测试活动。 它允许开发人员有效地左移并防止安全问题传播到 SDLC 的后期阶段。

“现代软件开发的一个标志是将大型流程分解为更小、更易于管理的任务,这些任务可以以分布式方式快速并发地执行,”Synopsys 软件完整性小组总经理 Jason Schmitt 说。 “对于采用 DevSecOps 的组织,应用程序安全测试需要效仿。 借助快速扫描,Coverity 和 Black Duck 用户可以在开发人员编写和提交代码时运行快速预防性扫描,以检测和消除表面级别的漏洞,并且他们可以使用相同的解决方案在 SDLC 稍后部署应用程序之前运行深度扫描。”

新功能包括:

Coverity 快速扫描。 新的 Coverity SAST 的快速扫描功能 在开发人员的桌面和持续集成 (CI) 管道(如 GitLab 和 GitHub Actions)中提供对专有代码的快速安全分析。 Coverity Rapid Scan 针对基于 Kubernetes、Terraform 和 CloudFormation 等基础设施即代码框架以及 GraphQL、Kafka 和 Postman 等微服务构建的云原生应用程序进行了优化。 Rapid Scan 可以快速检测许多最常见的安全漏洞,以及有问题的错误配置缺陷和 API 滥用。

黑鸭快速扫描。 Black Duck SCA 的快速扫描功能 允许开发人员和发布经理执行快速依赖分析,以确定在将代码合并到发布分支之前,他们应用程序中的任何开源组件是否违反了他们组织的安全和许可政策。 Black Duck Rapid Scan 为开发人员提供了对依赖风险的早期洞察,并将资源密集型 SCA 活动(例如多因素开源检测)推迟到 SDLC 的后期阶段,从而针对速度和效率进行了优化。

智能编排和快速扫描。 Coverity 和 Black Duck 快速扫描功能可与 Synopsys 的结合使用 智能编排解决方案根据持续集成 (CI) 管道中的事件自动触发快速 SAST 和 SCA 扫描。 智能编排使 DevOps 团队能够在正确的时间运行正确的安全测试,当速度和效率至关重要时,它可以在管道的早期阶段利用快速扫描,并且可以在后期阶段运行完整的 Coverity 和 Black Duck 扫描。在部署之前验证应用程序的质量和安全性时使用管道。

要了解有关 Coverity 和 Black Duck 快速扫描的更多信息,请阅读 博客文章.

关于Synopsys软件完整性小组 

Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度地提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 www.synopsys.com/software.

关于Synopsys

Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为标准普尔500强公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领先地位,拥有悠久的历史,并提供业界最广泛的应用程序安全测试工具和服务组合。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写更安全,高质量代码的软件开发人员,Synopsys都能提供交付创新产品所需的解决方案。 了解更多 www.synopsys.com.

###