作为全球第15大软件公司,新思科技(Synopsys)公司是众多创新型公司的 Silicon to Software("芯片到软件")合作伙伴,这些公司致力于开发我们日常所依赖的电子产品和软件应用。新思科技帮助研发人员构建安全、高质量的软件,降低风险的同时提升速度及生产力。新思科技是应用安全领域公认的佼佼者,提供静态分析、软件组成分析、动态分析解决方案,帮助研发团队更快地找到专有代码、开源组件及应用程序行为中的漏洞和缺陷,并修复它们。通过结合行业领先的工具、服务和专业知识,新思科技可以帮助企业优化DevSecOps和整个软件开发生命周期中的安全和质量。
在数字经济时代,软件驱动创新。因此,管理软件风险对于保障业务运营和盈利至关重要。日前,在新思科技举办的线上媒体交流会上,新思科技中国区软件应用安全技术总监杨国梁与大家分享了新思科技最新推出的Code Sight插件标准版,并与大家就如何能够帮助企业更好地适应DevSecOps的转型,以更快的速度帮助企业交付更加可信和更加安全的软件进行了沟通交流。
新思科技中国区软件应用安全技术总监 杨国梁
采访嘉宾简介:
杨国梁毕业于瑞典皇家理工学院,获得硕士学位。他曾在科诺康(Codenomicon)出任安全工程师,由此开启专注于信息安全的职业生涯。
在科诺康任职期间,杨国梁帮助企业客户发现和修复其基于软件的产品和系统的关键安全漏洞。他专注于电信、工业控制系统、汽车、医疗器械及物联网等领域。
2015年6月,美国新思科技(Synopsys)收购了科诺康,杨国梁便加入了新思科技软件质量与安全部门(Software Integrity Group)。
杨国梁现在带领新思科技中国安全技术团队,帮助客户在软件开发生命周期及供应链方面建立更完善的安全和质量体系。
软件开发的重要趋势:代码更多,测试频率更快
目前在生活中所接触到的各行各业或者说方方面面,其实和软件已经产生了直接的关联,甚至所有的这些软件已经成为国计民生日常生活必不可少的部分。杨国梁举例说:F-22战斗机用到大约170万行软件代码,相比现如今的豪华轿车则包含近1亿行软件代码;为了支持每天超过400万次构建,在谷歌的系统中每天运行超过5亿次测试。现阶段的所有的软件行业或者说各行各业,其实都是在面临一个非常快速的发展,随之代码也在跟着急剧膨胀。
- 如何把Security做到DevOps里,变成一个真正的DevSecOps,从而把安全加入到研发运营一体化里面?并且在确保速度和确保发布的前提下,还要确保它的安全?
- 以云原生的方式来保障企业上云,如何为原生应用做好安全测试的保障?
- 随着代码急剧膨胀,如何把独立的安全问题转变为项目级别去应对?
对于这些问题,杨国梁做了这样的表述:“代码更多,测试频率更快是软件开发的重要趋势。如何在开发周期的初始阶段就发现并解决问题,更好地适应云原生和DevSecOps转型,正变得日益迫切。新思科技(Synopsys)最新推出的Code Sight标准版,正好可以应对这些挑战。”
Code Sight插件,开发人员的“神兵利器”
在中国,随着数字化转型步伐加速,软件开发的速度也需要跟上。如果在编写代码的时候就能内置安全性,软件开发也将提速,也能提升安全性。为此,新思科技(Synopsys)全面推出 Code Sight 标准版,这是适用于集成开发环境 (IDE) 的 Code Sight 插件的独立版本,使开发人员在提交代码前就能够快速查找和修复源代码、开源依赖项、基础架构即代码等文件中的安全缺陷。
杨国梁表示,Code Sight插件,其实可以说是给开发人员提供了一种“神兵利器”,能够让他们在开发的第一时间就规避一些潜在的安全问题。
据介绍,Code Sight 速度更快,返工更少,可分析大型项目:
- Code Sight是一个轻量级IDE插件,可以直接从IDE应用市场下载和安装。
- Coverity静态应用安全测试(SAST)及Black Duck软件组成分析(SCA)中新添了Rapid Scan快速扫描功能。Code Sight可凭借快速扫描功能,在后台快速分析大型项目。
- 在编码时就能修复安全缺陷,减轻了下游安全测试的负载,也避免了在开发人员已经执行其他任务时才发现之前的代码缺陷和漏洞,最大限度地减少了代价高昂的返工。
从安全左移到无处不移
Code Sight其实就是一个安全左移非常好的实践,据介绍,Code Sight在编写代码的时候就能将安全内置,查找并关注代码中的安全缺陷;识别易受攻击的开源依赖项;通过自动修复更快地解决问题以及编写更好的代码并避免安全问题。
从另外一个角度说,安全左移最好的规避时间点,就是在开发的同时,第一时间在写的同时,就能够把安全问题给指出来,避免把这些安全问题在第一时间写到代码里面,或者引入到代码里面。Code Sight其实解决的就是这样一个问题。
杨国梁介绍说:通过在IDE应用市场的下载和安装,我们集成了Coverity,就是新思科技的静态应用安全测试的工具以及Black Duck软件组成分析工具,将里面的一些Rapid Scan快速扫描的功能集成到Code Sight的插件上,在研发人员写下这一行的代码,打开和保存的同时就触发分析,让开发人员在第一时间就能够享受到安全带来的一些便利。
从几年前就在强调安全左移的概念,但最近两年其实看到随着云化的部署和其他各种各样的部署形式,随着云原生等等开展,随着在DevOps的开展,可能单纯地左移不一定能够解决安全问题了。在整个开发运营的各个环节,各个阶段都有相应的安全活动需要开展,杨国梁展开道。
快速构建可信安全的软件
现在整个行业都在做数字化转型,其实数字化转型过程中的重中之重就是确保软件可信。如何能够更加快速地构建可信安全的软件,以有效地管理业务风险?新思科技总结了以下三点:
首先,保护软件供应链安全,使用全面的AST工具,检测专有代码、OSS/第三方依赖项、应用程序行为和部署配置中的安全性、质量和合规性问题。
其次,将安全性纳入DevOps,借助智能AST编排和关联,帮助团队保持DevOps速度,并将修复重点放在对业务最关键的问题上。
最后,建立全面的应用安全项目,这使人员、流程和技术保持一致,以解决整个企业和应用生命周期所有阶段的安全风险。
杨国梁总结道:从流程的角度来看,Code Sight能够补充并且改进应用安全测试效率,让开发团队更有效的贯彻“安全左移”。采用Code Sight 标准版,开发人员在编码时就能修复安全缺陷,减轻了下游安全测试的负载,也避免了在开发人员已经执行其它任务时才发现之前的代码缺陷和漏洞,最大限度地减少了代价高昂的返工,更快地发布更高质量的软件。
总结:
正如新思科技软件质量与安全部门总经理Jason Schmitt所言:在现代软件开发中,“速度为王”,并且软件风险等同于业务风险。这就意味着开发人员肩负重任,需要确保软件安全和公司业务安全。Code Sight插件嵌入了市场领先的开源和代码分析技术,根据开发人员的速度要求进行了优化,并且可以直接集成在他们正在使用的工具中,不愧为开发人员的“神兵利器”。