飛象網(wǎng)訊 多年來,全球許多企業(yè)都采用新思科技Coverity靜態(tài)分析解決方案,輕松按類別篩選已識別的問題,查看趨勢報告,根據(jù)嚴重程度確定漏洞修復優(yōu)先級,管理團隊和項目的政策符合性。Cryptsoft是其中一家。
新思科技(Synopsys)在Forrester Wave™發(fā)布的《2021年第一季度靜態(tài)應(yīng)用安全測試》報告中被評為領(lǐng)導者。在12家被評估的供應(yīng)商中,新思科技Coverity靜態(tài)分析解決方案在“現(xiàn)有產(chǎn)品”類別中獲得最高分,并且在“策略”類別中名列前三。
Cryptsoft背景介紹
澳大利亞安全公司Cryptsoft提供用于安全系統(tǒng)設(shè)計、部署、驗證和互操作性的軟件開發(fā)工具。它的產(chǎn)品包括OASIS密鑰管理互操作性協(xié)議(KMIP)、OASIS公鑰密碼標準#11 (PKCS#11)和智能卡解決方案。
挑戰(zhàn):增加和改善安全性,以DevOps的速度進行掃描
隨著企業(yè)將其開發(fā)實踐快速發(fā)展為精簡而敏捷的DevOps方法,能夠適應(yīng)并跟上開發(fā)速度和復雜性的工具至關(guān)重要。具體來說,這些工具必須無縫集成到現(xiàn)有管道中,而不能“破壞構(gòu)建”或降低開發(fā)速度。
Cryptsoft的軟件產(chǎn)品在業(yè)界廣受贊譽,提供準確高效的安全掃描。因此,任何集成到其軟件開發(fā)生命周期(SDLC)管道中的安全解決方案都必須能夠充分保持開發(fā)速度。
Cryptsoft創(chuàng)始人兼首席技術(shù)官Tim Hudson表示:“Cryptsoft的客戶中有很多知名的科技公司,他們的綜合期望很高。Cryptsoft為密鑰管理系統(tǒng)和硬件安全模塊提供軟件,我們必須使用所有可能的工具來提高代碼質(zhì)量、安全性及穩(wěn)定性!
這項需求關(guān)乎巨大的利益,同時開發(fā)速度需要不斷提升,因此,Cryptsoft尋求可以保持并擴展其DevOps需求的靜態(tài)應(yīng)用安全測試(SAST)解決方案。
Tim Hudson表示,客戶會對產(chǎn)品進行間歇性掃描,Cryptsoft需要先他們一步發(fā)現(xiàn)潛在風險。為了滿足這一要求,必須使用功能強大的SAST工具,以便能夠更快地發(fā)現(xiàn)漏洞,并且不會減慢CI(持續(xù)集成)流程。
解決方案:新思科技應(yīng)用安全測試工具
Cryptsoft采用了新思科技Coverity® SAST 解決方案,提升開發(fā)速度及軟件質(zhì)量與安全。
Coverity是一種快速、準確且高度可擴展的靜態(tài)分析解決方案,可幫助開發(fā)和安全團隊在SDLC早期解決安全和質(zhì)量缺陷,追蹤和管理整個應(yīng)用組合中的風險,并確保符合安全和編碼標準。
Tim Hudson介紹道:“Coverity靜態(tài)應(yīng)用安全測試解決方案幫助Cryptsoft提前發(fā)現(xiàn)并修復漏洞。在客戶查詢發(fā)現(xiàn)的風險是漏洞還是誤報時,也可以更快地獲得響應(yīng)。Coverity覆蓋范圍廣,是目前市場上最有效的靜態(tài)代碼分析工具之一。Coverity要檢測的代碼范圍越來越廣,但是誤報率仍然保持一致,在同類產(chǎn)品中脫穎而出!
Tim Hudson說:“如果沒有Coverity這類的工具,那么開發(fā)大型系統(tǒng)就像玩俄羅斯轉(zhuǎn)盤一樣,在賭運氣,這不是我們想要的。憑借Coverity,開發(fā)人員可以確保手動檢查過程中沒有遺漏,有助于我們做出明智的決定!
效果:掃描反饋快速、精準,無縫集成
Cryptsoft想要將Coverity最新版本引入其構(gòu)建流程,而且希望操作相對簡單。
Tim Hudson贊賞道:“效果超出我們預期。我們將Coverity集成到構(gòu)建過程中,在收到軟件的同一天就可以對掃描結(jié)果進行分類。”
要與DevOps兼容,易于集成很關(guān)鍵。如果不能無縫集成到現(xiàn)有管道中可能會破壞開發(fā)活動。借助Coverity,Cryptsoft的工作可以不間斷,Coverity能在同一天啟動并運行。此外,Coverity可以為Cryptsoft提供快速、可靠的掃描結(jié)果。
Tim Hudson補充說:“開發(fā)人員能夠從持續(xù)集成環(huán)境中獲得即時反饋,意味著Coverity貫穿整個開發(fā)過程,而不是在開發(fā)周期結(jié)束時才使用。這使我們能夠確定和調(diào)整軟件開發(fā)期間可能存在的問題結(jié)構(gòu),進一步減少了誤報。當在難以測試的環(huán)境中檢測到潛在漏洞時,所有可能的代碼路徑中的靜態(tài)代碼分析帶來很大的好處,幫助我們?yōu)榭蛻艚桓陡鼜姶蟮能浖!?/P>
憑借Coverity SAST,Cryptsoft的產(chǎn)品擁有可靠的安全性,表現(xiàn)出色,進一步鞏固了其領(lǐng)先的行業(yè)地位。