当前位置:首页 > 厂商动态 > 新思科技(Synopsys)
[导读]现代软件开发具有更多的代码、语言、平台以及部署选项。

现代软件开发具有更多的代码、语言、平台以及部署选项。 DevOps要求自动化最大限度地提高速度。而这些都意味着更多的安全风险。因此,DevSecOps开始受到关注,从软件开发初期就进行全生命周期的安全管理。新思科技(Synopsys)近期发布的《2020年DevSecOps实践和开源管理报告》显示DevSecOps在全球范围内迅速增长。总计63%的受访者表示他们正在将一些DevSecOps活动融入其软件开发计划中。

那么,如何将安全置于DevOps之中呢?

新思科技:以DevOps的速度打造安全的软件

引入DevSecOps

向DevSecOps过渡极具挑战性。一方面,虽然目前主要是安全小组独立地负责安全,但逐渐开发团队也参与进来,共同负责安全和预算,使安全成为开发流程不可或缺的一部分;另一方面,开发团队正在通过自动化和持续改进流程来优化速度,实践DevOps。

许多团队缺乏全盘计划,忽视了管理风险。团队没有采取审慎的、深思熟虑的方法来提高安全,而是陷入一种僵局。团队试图使一切运行得足够快,以跟上DevOps的步伐,但由于信息量太大,以至于他们不知道从哪里开始才能改善流程。

在不影响速度的情况下为DevOps增加安全

从切实降低风险的角度出发,从整体上解决安全问题的最佳方法是什么?答案是更高效的自动化。开发人员不必在每次更改代码时都运行全面扫描,而是根据上下文使用智能测试,并决定要运行的内容、运行时间以及运行方式。

逐步提升安全

让我们看一下软件开发中安全测试的典型演变。也许从部署静态应用安全测试(SAST)开始。仅分析集成就有许多可能性:

· 分析每次提交

· 分析每个推送请求

· 分析主要版本

· 选择分析检查器

· 配置分析检查器

接下来,您决定进一步提升安全性,添加软件组成分析(SCA)。您可以将其单独集成到管道中,但是仍然有很多其它选择:

· 扫描应用程序

· 扫描部署容器

· 选择扫描粒度和其他配置选项

· 识别通用漏洞披露(CVE)公布有违反政策的组件

· 识别CVE公布的组件在通用漏洞评分系统(CVSS)的评分

· 识别操作风险高的组件

· 识别有一定许可证风险的组件

· 将扫描结果的总结上传到风险追踪系统

· 每个不符合要求的组件信息都将发送到风险追踪系统

新思科技:以DevOps的速度打造安全的软件

将策略当作代码

策略很重要。要求所有应用程序开发团队使用静态分析是一种简单但无效的软件安全策略。更有效的策略应该根据需要指定要使用的工具、所需的配置,最重要的是,可以指定在发布应用程序之前所需的结果类型。

阐明策略的好方法是采用机器可读文件的形式,有时将其称为代码(我实际上并没有将其称为代码;它实际上是一个配置文件,可能是JSON或YAML)。

DevSecOps中安全层的关键功能

这里的“策略”描述了应该进行哪些测试、规定需要什么样的结果(或将停止构建或部署)、将什么样的结果发送到常规问题追踪系统、需要进行哪些合规性活动等等。可以有多个策略,每个策略反映不同类型的应用程序和不同类型的风险状况。

根据策略的规定在开发管道中的特定事件上执行相应的测试,但是针对项目的当前状态进行了优化。安全层处理与工具的集成。

与安全层的轻量级集成发生在特定事件(例如合并请求)上。安全层旨在简化集成。

什么时候应该做安全防护呢?在发生代码仓提交或代码仓合并请求之类的事件时,管道会要求安全层执行安全测试。安全层可以发挥一些强大的魔力,我们称之为智能编排(Intelligent Orchestration)。首先,它参考策略来了解哪种安全测试是适合的。根据策略,安全层可以优化测试的执行方式。例如,如果开发人员刚刚对CSS文件进行了更改,那么Intelligent Orchestration会意识到完整的SAST扫描和SCA扫描是不必要的。对于更改特定模块中的几个Java源文件,可以执行增量SAST以优化速度。

那是否合规呢?开发管道可以要求安全层对项目是否合规做出判断。

我们如何处理安全问题?可以按严重性对结果进行分类,通过CWE Top 25或OWASP Top 10进行检查,也可以根据需要进行过滤和排序。您可以将结果整合到Tableau或Power BI之类的分析工具中。您可以制作图表,显示随着团队努力解决安全问题而使得错误(和风险)下降的趋势。

使用安全集成层还可以简化添加新的安全测试工具或替换现有工具的流程。每个新工具都集成到安全层中,但是开发管道和安全层之间的接口保持不变。

为未来做好准备

软件安全是一个蓬勃发展的领域。如果您试图建立DevSecOps策略,那么确定所需的工具和流程可能会面临挑战。有了安全层,您开发过程中的集成就不需要更改。您只需要从安全层集成到新工具,然后调整策略即可。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

业内消息,日前欧洲软件巨头SAP宣布了一项重组计划推动人工智能增长,该计划将涉及大约8000名员工的岗位调整,这些员工将被纳入自愿休假计划和内部再培训措施,即鼓励员工自愿离职或进行内部转岗。

关键字: AI 重组 软件 裁员 SAP

业内消息,近日芯片设计软件制造商Synopsys表示,将通过价值350亿美元的现金加股票交易收购EDA厂商Ansys 。该交易完成的话将是自芯片制造商博通以来科技领域最大的收购案,博通去年以690亿美元的交易收购了软件制...

关键字: 新思科技 Synopsys 收购 EDA Ansys

业内消息,国家工信部近日公布了今年前三季度我国软件和信息技术服务业的具体情况,整体运行态势平稳,软件业务收入两位数增长,利润总额保持较快增长,软件业务出口降幅收窄。

关键字: 工信部 软件

嵌入式系统是一种特殊的计算机系统,它被嵌入到其他设备中,以完成特定的任务。嵌入式系统的结构组成是由硬件和软件两部器、输入输出设备和总线等组件,而软件部分则包括操作系统、应用程序和驱动程序等。

关键字: 嵌入式 计算机 软件

嵌入式软件系统是现代技术中广泛应用的一种软件形式,它通常嵌入在各种设备中,如汽车、电子设备、医疗设备等。由于这些设备的功能和性能对人们的生活至关重要,因此对嵌入式软件系统进行全面而有效的测试非常重要。本文将介绍如何对嵌入...

关键字: 嵌入式 设备 软件

安全态势可控、移动安全可及、安全开发可行

关键字: 软件 软件安全 智能终端

嵌入式系统已经成为现代生活中不可或缺的一部分,它们被广泛运用于各行各业,包括智能手机、汽车、家用电器、医疗设备等。在全球嵌入式软件市场中,中国作为制造业大国,自然也扮演着重要的角色。本文将详细分析国产嵌入式软件的发展趋势...

关键字: 嵌入式系统 软件 人工智能

在众多行业的数字化转型过程中,基于硬件的数据处理加速是构建高性能、高效率智能系统的关键之处,因而市场上出现了诸如FPGA、GPU和xPU等许多通用或者面向特定应用(如NPU)的硬件加速器。尽管它们的性能和效率都高于通用处...

关键字: 软件 硬件 FPGA GPU

上海2023年9月25日 /美通社/ -- 回顾"中国制造"的崛起之路,我们逐渐从「志造」、「制造」一路走到了「智造」,在如今智能化主导的时代中,制造仍然是有志者们的主战场,硝烟未散。亿个制造强者,才...

关键字: 软件 TOP P10 离散

该AI驱动型数据分析解决方案能够挖掘未开发的、具有可操作的洞察,以提高芯片设计、制造、测试和现场部署的效率  摘要:  全面的AI驱动型数据分析解决方案可整合并利用IC设计、测试和制造流程中...

关键字: EDA SYNOPSYS 大数据分析 新思科技
关闭
关闭