為了有效保護(hù)應(yīng)用免受日益增長(zhǎng)的網(wǎng)絡(luò)攻擊,企業(yè)需要在軟件開發(fā)生命周期(SDLC)多個(gè)環(huán)節(jié)中采用安全測(cè)試技術(shù)的組合。然而管理多種工具組合的復(fù)雜性也越來越高。為此,新思科技在2019年推出了Polaris應(yīng)用安全平臺(tái),將多個(gè)強(qiáng)大的分析引擎整合到一個(gè)解決方案中,并持續(xù)更新其性能,以便用戶可以根據(jù)應(yīng)用、項(xiàng)目、時(shí)間表或 SDLC 事件在不同的時(shí)間靈活地運(yùn)行不同的測(cè)試。
新思科技(Synopsys, Nasdaq:?SNPS) 近日宣布將推出新一代Polaris Software Integrity Platform?軟件質(zhì)量與安全平臺(tái)。該平臺(tái)提供全新功能——快速應(yīng)用安全測(cè)試(Fast Application Security Testing, fAST),并將于2023年4月24日至27日在美國(guó)舊金山RSA信息安全大會(huì)上進(jìn)行首秀。憑借新思科技fAST Static靜態(tài)應(yīng)用安全測(cè)試和 fAST SCA軟件組成分析, DevOps 團(tuán)隊(duì)能夠通過一個(gè)完全集成的 SaaS 平臺(tái)快速找到并修復(fù)其專有代碼和開源依賴項(xiàng)中的漏洞。
在現(xiàn)代云架構(gòu)和可擴(kuò)展的多租戶SaaS交付的支持下,Polaris 平臺(tái)使開發(fā)人員能夠在幾分鐘內(nèi)輕松上手并開始掃描代碼,同時(shí)賦能安全團(tuán)隊(duì),追蹤測(cè)試活動(dòng)并管理數(shù)千個(gè)應(yīng)用的潛在風(fēng)險(xiǎn)。
新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示:“現(xiàn)在,各種規(guī)模的開發(fā)、DevOps 和安全團(tuán)隊(duì)都需要一套完全集成和自動(dòng)化的解決方案。該解決方案結(jié)合多種測(cè)試技術(shù),降低復(fù)雜性,并與現(xiàn)代DevSecOps的發(fā)展步伐相匹配。通過 Polaris,我們正在提供一個(gè)兼顧多種需求的應(yīng)用安全平臺(tái)。該平臺(tái)將經(jīng)過驗(yàn)證的同類最佳技術(shù)統(tǒng)一到集成的 SaaS 平臺(tái)中。而且該平臺(tái)隨著技術(shù)的升級(jí)可進(jìn)行擴(kuò)展,并得到眾多行業(yè)領(lǐng)導(dǎo)者的支持?!?/p>
Polaris 軟件質(zhì)量與安全平臺(tái)的最新增強(qiáng)功能加速了開發(fā)、DevOps 和安全團(tuán)隊(duì)的工作流程,使他們能夠:
- 通過單一平臺(tái)執(zhí)行靜態(tài)應(yīng)用安全測(cè)試(SAST) 和軟件組成分析(SCA)。新思科技fAST Static 和 fAST SCA 建立在成熟的 Coverity? 靜態(tài)應(yīng)用安全測(cè)試和 Black Duck? 分析引擎之上,只需一次單擊即可加速準(zhǔn)確檢測(cè)源代碼和開源軟件中的漏洞,無需配置。 新思科技 fAST Static 的多線程分析允許用戶運(yùn)行增量掃描,速度比完整掃描快 5-10 倍,并且不會(huì)損失準(zhǔn)確性;而新思科技 fAST SCA 則為團(tuán)隊(duì)提供開源漏洞的詳細(xì)分析。得益于此,用戶可以獲得應(yīng)用缺陷及漏洞的完整信息,加速解決風(fēng)險(xiǎn)。
- 通過簡(jiǎn)化的集成和自動(dòng)化將安全性構(gòu)建到DevOps 中。開箱即用的無縫集成可以輕松將Polaris平臺(tái)連接到Jenkins和 Jira Cloud,以及GitHub、GitLab和Azure DevOps代碼存儲(chǔ)庫(kù)。團(tuán)隊(duì)可以在整個(gè)企業(yè)中快速載入用戶信息和應(yīng)用,并根據(jù)定義的計(jì)劃或作為任何CI工作流的一部分輕松地自動(dòng)執(zhí)行掃描。他們還可以定義安全策略以在發(fā)現(xiàn)漏洞時(shí)觸發(fā)警報(bào)或停止構(gòu)建,內(nèi)置報(bào)告和分析支持可操作性,從而簡(jiǎn)化修復(fù)工作流程并追蹤應(yīng)用和團(tuán)隊(duì)的進(jìn)度。
- 在企業(yè)范圍內(nèi)管理應(yīng)用安全風(fēng)險(xiǎn)。Polaris 軟件質(zhì)量與安全平臺(tái)的多租戶 SaaS交付包括彈性容量、跨項(xiàng)目和掃描類型的并發(fā)掃描,以最大限度地縮短獲得結(jié)果的時(shí)間,并可輕松擴(kuò)展到數(shù)千個(gè)應(yīng)用,滿足大型企業(yè)開發(fā)團(tuán)隊(duì)的需求。對(duì)于安全團(tuán)隊(duì),該平臺(tái)的集成漏洞分析工具有助于在直觀的儀表板中實(shí)時(shí)識(shí)別整個(gè)軟件組合中的應(yīng)用安全熱點(diǎn)。該儀表板顯示應(yīng)用、項(xiàng)目和測(cè)試類型中的漏洞嚴(yán)重性和類型。此外,Polaris 還提供分類服務(wù),以便新思科技應(yīng)用安全專家審查靜態(tài)分析結(jié)果并消除誤報(bào),從而顯著提高掃描的效率、準(zhǔn)確性和可操作性,同時(shí)確保失敗和配置錯(cuò)誤的掃描不會(huì)中斷管道或開發(fā)人員工作流程。
Gartner 報(bào)告1顯示,80%的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者現(xiàn)在希望通過更少的供應(yīng)商來整合他們的安全支出。該分析公司指出,“由于業(yè)界需要降低復(fù)雜性、利用共性、減少管理開銷并確保更有效的安全性,安全技術(shù)在多個(gè)安全領(lǐng)域的融合正在加速。?!?/p>
參考資料:
1. Gartner, Inc. “Top Trends in Cybersecurity 2022” by Richard Addiscott, William Candrick, Peter Firstbrook, et. al., Feb. 18, 2022.