實時代碼安全檢測:應用測試領導者新思發布最新軟件完整性平臺
責編:gltian |2019-03-20 14:37:52安全領域一直在強調安全需要成為產品的內置屬性,而不是在產品完成之后再加上安全的能力。因此,安全需要貫穿整個產品的開發周期。
然而,即使完全遵守了安全的開發流程,人在編寫代碼的時候因各種問題難免會產生一些漏洞;盡管可以在開發的每個進度點進行安全測試,但是一旦檢測出問題,再重新審閱代碼進行修改無疑會減緩開發的速度。
那如果不僅在開發中的進度點進行測試,更能在代碼編寫的過程中就直接對代碼進行安全檢測呢?在本月的RSAC上,Gartner的應用測試領導者象限的廠商新思科技發布了Polaris軟件完整性平臺,使得安全能進一步貼近軟件開發流程。
對開發者而言,Polaris有以下的優勢值得一看:
1. 快速靈活部署
Polaris現在提供SaaS方案(今后將提供私有云和本地化部署),開發者只需要通過結合新思科技Code Sight? IDE插件,就能將應用程序安全性分析無縫集成到IntelliJ、Eclipse或Visual Studio IDE當中,從而以最快速度部署Polaris的安全能力。
2. 開發即時檢測
Code Sight? IDE插件可以將新思科技的解決方案擴展到開發人員的本地工作環境,幫助開發人員在編寫代碼時直接查找并解決代碼中的安全漏洞,不再需要切換工具,極大程度地避免了因為安全性而影響開發效率的問題。另一方面,Code Sight還提供eLearning課程,幫助開發者解決現有的問題并培訓他們能在日后編寫更安全的代碼。
3. 檢測預防左移
Code Sight? IDE插件在開發端為開發者提供代碼安全的能力,而在中央服務器上則有分析引擎作為CI/CD管道的一部分,保障了安全性的同時依然確保安全不會影響開發效率。考慮到在開發過程中,即使單個函數、功能不存在代碼安全問題,但多個函數、功能的交互卻可能產生調用的安全問題,Polaris能將在服務器端對已編寫完成的功能進行交互測試,發現交互之中的安全問題,從而將安全能力進一步左移,涵蓋整個開發周期。
4. 安全工具集成
在服務器端,Polaris還有多種不同的安全工具供開發者使用。平臺現有Coverity和Black Duck等分析引擎,提供部署管理、啟動安全掃描、分析結果和協調修復活動的靈活性。另外,平臺還有Jenkins, Jira, Red Hat OpenShift和Kubernetes等工具,提供自動自動化的安全測試以及合規能力。
5. 風險報告展示
之前困擾新思科技的客戶的一個問題就在于新思科技擁有太多的分析引擎以及工具,卻缺乏一個更統一化的平臺去管理和使用這些工具。如今,隨著Polaris的出現,這個問題可以得到極大的改善。Polaris提供綜合報告和交互式儀表板,將來自多個安全分析引擎的信息直觀呈現給開發者。開發者可以通過這些信息追蹤開發過程中的隱患,并且隨著時間的推移逐步完善解決方案。另一方面,開發團隊可以通過豐富的API將這些風險數據集成到現有的報告解決方案中。