為了有效保護(hù)應(yīng)用免受日益增長的網(wǎng)絡(luò)攻擊,企業(yè)需要在軟件開發(fā)生命周期(SDLC)多個環(huán)節(jié)中采用安全測試技術(shù)的組合。然而管理多種工具組合的復(fù)雜性也越來越高。為此,新思科技在2019年推出了Polaris應(yīng)用安全平臺,將多個強(qiáng)大的分析引擎整合到一個解決方案中,并持續(xù)更新其性能,以便用戶可以根據(jù)應(yīng)用、項(xiàng)目、時間表或 SDLC 事件在不同的時間靈活地運(yùn)行不同的測試。
新思科技(Synopsys, Nasdaq:?SNPS) 近日宣布將推出新一代Polaris Software Integrity Platform?軟件質(zhì)量與安全平臺。該平臺提供全新功能——快速應(yīng)用安全測試(Fast Application Security Testing, fAST),并將于2023年4月24日至27日在美國舊金山RSA信息安全大會上進(jìn)行首秀。憑借新思科技fAST Static靜態(tài)應(yīng)用安全測試和 fAST SCA軟件組成分析, DevOps 團(tuán)隊(duì)能夠通過一個完全集成的 SaaS 平臺快速找到并修復(fù)其專有代碼和開源依賴項(xiàng)中的漏洞。
在現(xiàn)代云架構(gòu)和可擴(kuò)展的多租戶SaaS交付的支持下,Polaris 平臺使開發(fā)人員能夠在幾分鐘內(nèi)輕松上手并開始掃描代碼,同時賦能安全團(tuán)隊(duì),追蹤測試活動并管理數(shù)千個應(yīng)用的潛在風(fēng)險。
新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示:“現(xiàn)在,各種規(guī)模的開發(fā)、DevOps 和安全團(tuán)隊(duì)都需要一套完全集成和自動化的解決方案。該解決方案結(jié)合多種測試技術(shù),降低復(fù)雜性,并與現(xiàn)代DevSecOps的發(fā)展步伐相匹配。通過 Polaris,我們正在提供一個兼顧多種需求的應(yīng)用安全平臺。該平臺將經(jīng)過驗(yàn)證的同類最佳技術(shù)統(tǒng)一到集成的 SaaS 平臺中。而且該平臺隨著技術(shù)的升級可進(jìn)行擴(kuò)展,并得到眾多行業(yè)領(lǐng)導(dǎo)者的支持?!?/p>
Polaris 軟件質(zhì)量與安全平臺的最新增強(qiáng)功能加速了開發(fā)、DevOps 和安全團(tuán)隊(duì)的工作流程,使他們能夠:
- 通過單一平臺執(zhí)行靜態(tài)應(yīng)用安全測試(SAST) 和軟件組成分析(SCA)。新思科技fAST Static 和 fAST SCA 建立在成熟的 Coverity? 靜態(tài)應(yīng)用安全測試和 Black Duck? 分析引擎之上,只需一次單擊即可加速準(zhǔn)確檢測源代碼和開源軟件中的漏洞,無需配置。 新思科技 fAST Static 的多線程分析允許用戶運(yùn)行增量掃描,速度比完整掃描快 5-10 倍,并且不會損失準(zhǔn)確性;而新思科技 fAST SCA 則為團(tuán)隊(duì)提供開源漏洞的詳細(xì)分析。得益于此,用戶可以獲得應(yīng)用缺陷及漏洞的完整信息,加速解決風(fēng)險。
- 通過簡化的集成和自動化將安全性構(gòu)建到DevOps 中。開箱即用的無縫集成可以輕松將Polaris平臺連接到Jenkins和 Jira Cloud,以及GitHub、GitLab和Azure DevOps代碼存儲庫。團(tuán)隊(duì)可以在整個企業(yè)中快速載入用戶信息和應(yīng)用,并根據(jù)定義的計(jì)劃或作為任何CI工作流的一部分輕松地自動執(zhí)行掃描。他們還可以定義安全策略以在發(fā)現(xiàn)漏洞時觸發(fā)警報或停止構(gòu)建,內(nèi)置報告和分析支持可操作性,從而簡化修復(fù)工作流程并追蹤應(yīng)用和團(tuán)隊(duì)的進(jìn)度。
- 在企業(yè)范圍內(nèi)管理應(yīng)用安全風(fēng)險。Polaris 軟件質(zhì)量與安全平臺的多租戶 SaaS交付包括彈性容量、跨項(xiàng)目和掃描類型的并發(fā)掃描,以最大限度地縮短獲得結(jié)果的時間,并可輕松擴(kuò)展到數(shù)千個應(yīng)用,滿足大型企業(yè)開發(fā)團(tuán)隊(duì)的需求。對于安全團(tuán)隊(duì),該平臺的集成漏洞分析工具有助于在直觀的儀表板中實(shí)時識別整個軟件組合中的應(yīng)用安全熱點(diǎn)。該儀表板顯示應(yīng)用、項(xiàng)目和測試類型中的漏洞嚴(yán)重性和類型。此外,Polaris 還提供分類服務(wù),以便新思科技應(yīng)用安全專家審查靜態(tài)分析結(jié)果并消除誤報,從而顯著提高掃描的效率、準(zhǔn)確性和可操作性,同時確保失敗和配置錯誤的掃描不會中斷管道或開發(fā)人員工作流程。
Gartner 報告1顯示,80%的安全和風(fēng)險管理領(lǐng)導(dǎo)者現(xiàn)在希望通過更少的供應(yīng)商來整合他們的安全支出。該分析公司指出,“由于業(yè)界需要降低復(fù)雜性、利用共性、減少管理開銷并確保更有效的安全性,安全技術(shù)在多個安全領(lǐng)域的融合正在加速。。”
參考資料:
1. Gartner, Inc. “Top Trends in Cybersecurity 2022” by Richard Addiscott, William Candrick, Peter Firstbrook, et. al., Feb. 18, 2022.