近日,新思科技(Synopsys)宣布全面推出 Code Sight™ 标准版,这是适用于集成开发环境 (IDE) 的 Code Sight 插件的独立版本,使开发人员在提交代码前就能够快速查找和修复源代码、开源依赖项、基础架构即代码等文件中的安全缺陷。凭借新思科技Rapid Scan功能,Code Sight标准版在开发人员的 IDE 中提供快速、轻量级的应用安全分析,防止在软件开发生命周期 (SDLC) 后期才发现问题,导致代价高昂的返工。目前,Coverity静态应用安全测试(SAST)及Black Duck软件组件分析(SCA)中新添了Rapid Scan快速扫描功能。
采用Code Sight 标准版,开发人员在编码时就能修复安全缺陷,减轻了下游安全测试的负载,也避免了在开发人员已经执行其它任务时才发现之前的代码缺陷和漏洞,最大限度地减少了代价高昂的返工。目前可用于 Visual Studio Code IDE 的 Code Sight 标准版独立于集中式安全测试工具(如 Coverity SAST 和 Black Duck SCA)运作。通常在 SDLC 后期会使用到Coverity及Black Duck。开发人员可以直接从 VS Code Marketplace 下载并安装 Code Sight,并在五分钟内就可以开始分析代码。
新思科技软件质量与安全部门总经理Jason Schmitt表示:“在现代软件开发中,‘速度为王’,并且软件风险等同于业务风险。这就意味着开发人员肩负重任,需要确保软件安全和公司业务安全。他们时间紧迫,要不间断地扫描和测试。技术赋能工作人员,帮助他们从一开始就编写更加安全的代码,可显著减少在SDLC后期修复开源和代码安全缺陷所花费的时间。但是,如果开发人员被迫改变他们的工作方式或在不同工具之间来回切换,就无法实现这些。Code Sight 很出色,嵌入了市场领先的开源和代码分析技术,根据开发人员的速度要求进行了优化,并且可以直接集成在他们正在使用的工具中。”