速度为王的软件开发如何实现安全“左移”?

Synopsys Editorial Staff

Mar 16, 2022 / 1 min read

在全行业数字化转型趋势下,软件逐渐成为业务运行的“基础设施”。中国工信部指出,到2025年,软件和信息技术服务业规模增长至14万亿元。以汽车领域为例,“软件定义汽车”大行其道,从代码数量便可窥见其发展趋势。如今智能汽车软件代码行数直逼1亿条,软件与算法已成为汽车新四化的核心引擎。软件行业发展迅速,代码量急剧膨胀,在这种趋势下,软件开发安全问题越来越难以忽略。

对于企业而言,安全已经成为产品的内置属性,贯穿在整个产品开发周期中。从安全左移到无处不移,业界一直在寻找更加完善的安全解决方案,以满足日益变化的市场需求。为了帮助企业开发更加安全可信的软件,提升软件开发速度,更好地适应DevSecOps转型,新思科技推出了Code Sight插件标准版,能够第一时间规避软件开发安全风险。

为软件开发安全打造“神兵利器”

所谓DevSecOps,即在软件开发生命周期(SDLC)早期便引入安全。如此一来,从设计到集成、测试、部署,直至软件交付,在软件开发生命周期的每个阶段,开发者都能够对安全问题及潜在风险了如指掌,并实时进行反馈与修复。另一方面,在云计算、人工智能等技术发展下,软件开发越来越复杂,安全问题也越来越多。各企业也更加重视风险管理,以云原生的方式为云原生应用进行安全测试,并将独立具体安全问题的处理转变为项目级别风险管理方式。

对于新思科技来说,长期秉持着安全左移、无处不移的概念,致力于帮助开发者尽早修复代码缺陷、解决安全问题,尽可能避免潜在风险流入测试、发布甚至上线等后续阶段。作为这样一个软件安全分析工具,Code Sight插件是安全左移概念有效性的有力例证。Code Sight插件为开发者提供了规避安全风险、降本增效的“神兵利器”。

Code Sight插件标准版集成了Coverity静态应用安全测试(SAST)及Black Duck 软件组件分析(SCA)等工具,并添加了新思科技Rapid Scan快速扫描功能。面向集成开发环境(IDE),该插件能够快速查找和修复源代码、开源依赖项、基础架构即代码等文件中的安全缺陷,为开发者提供快速、轻量的应用安全分析。安全左移的最佳节点是在开发的同时,能够实时指出问题并解决。这个节点必然指向软件开发的初始环节,即IDE开发环境。在安装有Code Sight插件的IDE中,当开发者敲下第一行代码,安全分析便触发了。

通过静态应用安全测试(SAST)和软件组件分析(SCA)相结合,已经能够规避很大部分安全问题了。前者检测代码层面安全问题,后者可识别开源组件的深层次依赖关系及已知漏洞。综合分析结果,Code Sight插件还将提供修复建议,让开发者能够在编程时修复安全缺陷,减轻下游安全测试负载,同时很大程度上减少了由代码缺陷和漏洞引起的返工。整体而言,无论从便捷程度,还是从投入产出比、节约开销的角度来说,在IDE阶段尽可能解决更多安全问题,都是一个非常划算、非常高效的手段。

数字化转型加速构建可信软件是关键

数字化转型之后,所有数字化全部要依赖于软件来运行。确保软件可信是产业数字化转型的重中之重,也是确保数字经济核心竞争力的因素之一。构建可信的软件才能有效推动数字化转型。那么,如何快速构建可信安全的软件?

首先,企业需要全盘考虑,建立全面的应用安全项目。无论是Code Sight插件,还是Coverity静态应用安全测试(SAST)、Black Duck软件组件分析(SCA),都是为软件安全服务的安全技术。因此,构建完整完善的开发流程、提高开发者安全意识,通过指导性方针使人员、流程和技术保持高度一致,为整个企业和应用生命周期所有阶段排除安全隐患。

其次,将安全性纳入DevOps,即遵循DevSecOps。企业需要通过学习、实践不断改进,借助智能AST编排和关联,帮助团队保持DevOps速度,并将修复重点放在业务最关键的问题上。此外,企业应保护软件供应链的安全。对企业来说,保障整体安全性、质量和合规性问题不仅是对企业本身的约束,还需要将规避风险、安全优化的意识辐射至上下游企业。通过多方合作,与供应链企业共同构建可信安全的软件。

结语

没有任何一个工具可以完全100%解决安全问题,这需要配合整个DevSecOps流程。需求分析、架构设计之后,在编写代码的第一时间,Code Sight插件便派上用场了。然而软件开发必然非一人之力,涉及到跨文件、跨函数、跨过程的问题仍需在后续环节解析。新思科技提供了一个安全优化的思路,即每个开发者在check in代码之前,将自己那份代码的安全问题都规避掉。

在应用安全领域公认的领导者,新思科技密切贴合客户业务需求,保证产品没有开源许可风险和安全问题,有效降低了开发成本,缩减了产品上市时间。面对不断提速的数字化转型进程,新思科技不断传递着安全左移及无处不移的理念,并将其践行至具体的技术和工具中,最大限度降低整个SDLC的业务风险。

Continue Reading