安全“左移”已经成为软件行业的共识,在软件开发生命周期早期修复漏洞远比在后期进行补救更加省时省力。借助应用安全测试工具扫描漏洞和缺陷是开发人员常用的方式,越快、越准确获得扫描结果,修复就能越加及时。
近日,新思科技宣布在其Coverity静态应用安全测试(SAST)及Black Duck软件组件分析(SCA)中新添Rapid Scan快速扫描功能。Rapid Scan能为专有和开源代码提供快速、轻量级漏洞检测。Rapid Scan主要应用于开发的早期阶段,在云原生应用和基础架构即代码 (IaC)检测方面优势尤为明显。
在软件开发生命周期(SDLC)后期全面彻底的安全测试对于风险管理十分重要,但在早期阶段,每个增量步骤执行完整扫描通常太耗费时间和资源。Rapid Scan可作为对传统应用安全测试活动的补充,方便开发团队能够在每次代码签入或早期建构时执行快速 SAST 和 SCA 扫描,且不会拖慢开发速度。它使开发人员有效地将安全“左移”并防止安全问题延续到 SDLC 的后期阶段。
新思科技软件质量与安全部门总经理Jason Schmitt指出:“现代软件开发的标志之一是将大型流程分解为更小、更易于管理的任务。这些任务可以以分布式的方式快速同时执行。对于采用 DevSecOps 的企业来说,应用安全测试也需要与时俱进。借助Rapid Scan功能,Coverity和Black Duck的用户可以在开发人员编写和提交代码时运行快速预防性扫描,以检测和修复常见漏洞,并在SDLC的后续阶段(部署应用前)使用相同的方案进行深度扫描。”
新功能包括:
Coverity Rapid Scan快速扫描:全新Coverity SAST的快速扫描功能可在开发人员的桌面和持续集成 (CI) 管道(如 GitLab 和 GitHub Actions)中对专有代码进行快速安全分析。Coverity Rapid Scan 面向基于IaC(例如 Kubernetes、Terraform 和 CloudFormation)以及微服务(例如 GraphQL、Kafka 和 Postman)构建的云原生应用。Rapid Scan可以快速识别许多最常见的安全漏洞,以及有问题的错误配置缺陷和 API 滥用。
Black Duck Rapid Scan快速扫描:Black Duck SCA的快速扫描功能允许开发人员和发布经理执行快速依赖项分析,以确定在将代码合并到发布分支之前,应用中的开源组件是否违反了企业的安全和许可政策。Black Duck Rapid Scan为开发人员提供了对依赖风险的早期洞察,并将资源密集型 SCA 活动(例如多因素开源检测及生成完整软件物料清单)推迟到 SDLC 的后期阶段,从而对速度和效率进行了优化。
Intelligent Orchestration以及Rapid Scan:Coverity 和 Black Duck 快速扫描功能可与 新思科技Intelligent Orchestration解决方案结合使用,根据CI管道中的事件自动触发快速 SAST 和 SCA 扫描。Intelligent Orchestration使 DevOps 团队能够在正确的时间运行合适的安全测试;可以在管道的早期阶段利用Rapid Scan提升速度与效率;在部署之前验证应用的质量和安全,可以在管道的后期阶段运行完整的 Coverity 和 Black Duck 扫描。