作為全球第15大軟件公司,新思科技(Synopsys)公司是眾多創(chuàng )新型公司的 Silicon to Software("芯片到軟件")合作伙伴,這些公司致力于開(kāi)發(fā)我們日常所依賴(lài)的電子產(chǎn)品和軟件應用。新思科技幫助研發(fā)人員構建安全、高質(zhì)量的軟件,降低風(fēng)險的同時(shí)提升速度及生產(chǎn)力。新思科技是應用安全領(lǐng)域公認的佼佼者,提供靜態(tài)分析、軟件組成分析、動(dòng)態(tài)分析解決方案,幫助研發(fā)團隊更快地找到專(zhuān)有代碼、開(kāi)源組件及應用程序行為中的漏洞和缺陷,并修復它們。通過(guò)結合行業(yè)領(lǐng)先的工具、服務(wù)和專(zhuān)業(yè)知識,新思科技可以幫助企業(yè)優(yōu)化DevSecOps和整個(gè)軟件開(kāi)發(fā)生命周期中的安全和質(zhì)量。
在數字經(jīng)濟時(shí)代,軟件驅動(dòng)創(chuàng )新。因此,管理軟件風(fēng)險對于保障業(yè)務(wù)運營(yíng)和盈利至關(guān)重要。日前,在新思科技舉辦的線(xiàn)上媒體交流會(huì )上,新思科技中國區軟件應用安全技術(shù)總監楊國梁與大家分享了新思科技最新推出的Code Sight插件標準版,并與大家就如何能夠幫助企業(yè)更好地適應DevSecOps的轉型,以更快的速度幫助企業(yè)交付更加可信和更加安全的軟件進(jìn)行了溝通交流。
新思科技中國區軟件應用安全技術(shù)總監 楊國梁
采訪(fǎng)嘉賓簡(jiǎn)介:
楊國梁畢業(yè)于瑞典皇家理工學(xué)院,獲得碩士學(xué)位。他曾在科諾康(Codenomicon)出任安全工程師,由此開(kāi)啟專(zhuān)注于信息安全的職業(yè)生涯。
在科諾康任職期間,楊國梁幫助企業(yè)客戶(hù)發(fā)現和修復其基于軟件的產(chǎn)品和系統的關(guān)鍵安全漏洞。他專(zhuān)注于電信、工業(yè)控制系統、汽車(chē)、醫療器械及物聯(lián)網(wǎng)等領(lǐng)域。
2015年6月,美國新思科技(Synopsys)收購了科諾康,楊國梁便加入了新思科技軟件質(zhì)量與安全部門(mén)(Software Integrity Group)。
楊國梁現在帶領(lǐng)新思科技中國安全技術(shù)團隊,幫助客戶(hù)在軟件開(kāi)發(fā)生命周期及供應鏈方面建立更完善的安全和質(zhì)量體系。
軟件開(kāi)發(fā)的重要趨勢:代碼更多,測試頻率更快
目前在生活中所接觸到的各行各業(yè)或者說(shuō)方方面面,其實(shí)和軟件已經(jīng)產(chǎn)生了直接的關(guān)聯(lián),甚至所有的這些軟件已經(jīng)成為國計民生日常生活必不可少的部分。楊國梁舉例說(shuō):F-22戰斗機用到大約170萬(wàn)行軟件代碼,相比現如今的豪華轎車(chē)則包含近1億行軟件代碼;為了支持每天超過(guò)400萬(wàn)次構建,在谷歌的系統中每天運行超過(guò)5億次測試。現階段的所有的軟件行業(yè)或者說(shuō)各行各業(yè),其實(shí)都是在面臨一個(gè)非常快速的發(fā)展,隨之代碼也在跟著(zhù)急劇膨脹。
- 如何把Security做到DevOps里,變成一個(gè)真正的DevSecOps,從而把安全加入到研發(fā)運營(yíng)一體化里面?并且在確保速度和確保發(fā)布的前提下,還要確保它的安全?
- 以云原生的方式來(lái)保障企業(yè)上云,如何為原生應用做好安全測試的保障?
- 隨著(zhù)代碼急劇膨脹,如何把獨立的安全問(wèn)題轉變?yōu)轫椖考墑e去應對?
對于這些問(wèn)題,楊國梁做了這樣的表述:“代碼更多,測試頻率更快是軟件開(kāi)發(fā)的重要趨勢。如何在開(kāi)發(fā)周期的初始階段就發(fā)現并解決問(wèn)題,更好地適應云原生和DevSecOps轉型,正變得日益迫切。新思科技(Synopsys)最新推出的Code Sight標準版,正好可以應對這些挑戰。”
Code Sight插件,開(kāi)發(fā)人員的“神兵利器”
在中國,隨著(zhù)數字化轉型步伐加速,軟件開(kāi)發(fā)的速度也需要跟上。如果在編寫(xiě)代碼的時(shí)候就能內置安全性,軟件開(kāi)發(fā)也將提速,也能提升安全性。為此,新思科技(Synopsys)全面推出 Code Sight 標準版,這是適用于集成開(kāi)發(fā)環(huán)境 (IDE) 的 Code Sight 插件的獨立版本,使開(kāi)發(fā)人員在提交代碼前就能夠快速查找和修復源代碼、開(kāi)源依賴(lài)項、基礎架構即代碼等文件中的安全缺陷。
楊國梁表示,Code Sight插件,其實(shí)可以說(shuō)是給開(kāi)發(fā)人員提供了一種“神兵利器”,能夠讓他們在開(kāi)發(fā)的第一時(shí)間就規避一些潛在的安全問(wèn)題。
據介紹,Code Sight 速度更快,返工更少,可分析大型項目:
- Code Sight是一個(gè)輕量級IDE插件,可以直接從IDE應用市場(chǎng)下載和安裝。
- Coverity靜態(tài)應用安全測試(SAST)及Black Duck軟件組成分析(SCA)中新添了Rapid Scan快速掃描功能。Code Sight可憑借快速掃描功能,在后臺快速分析大型項目。
- 在編碼時(shí)就能修復安全缺陷,減輕了下游安全測試的負載,也避免了在開(kāi)發(fā)人員已經(jīng)執行其他任務(wù)時(shí)才發(fā)現之前的代碼缺陷和漏洞,最大限度地減少了代價(jià)高昂的返工。
從安全左移到無(wú)處不移
Code Sight其實(shí)就是一個(gè)安全左移非常好的實(shí)踐,據介紹,Code Sight在編寫(xiě)代碼的時(shí)候就能將安全內置,查找并關(guān)注代碼中的安全缺陷;識別易受攻擊的開(kāi)源依賴(lài)項;通過(guò)自動(dòng)修復更快地解決問(wèn)題以及編寫(xiě)更好的代碼并避免安全問(wèn)題。
從另外一個(gè)角度說(shuō),安全左移最好的規避時(shí)間點(diǎn),就是在開(kāi)發(fā)的同時(shí),第一時(shí)間在寫(xiě)的同時(shí),就能夠把安全問(wèn)題給指出來(lái),避免把這些安全問(wèn)題在第一時(shí)間寫(xiě)到代碼里面,或者引入到代碼里面。Code Sight其實(shí)解決的就是這樣一個(gè)問(wèn)題。
楊國梁介紹說(shuō):通過(guò)在IDE應用市場(chǎng)的下載和安裝,我們集成了Coverity,就是新思科技的靜態(tài)應用安全測試的工具以及Black Duck軟件組成分析工具,將里面的一些Rapid Scan快速掃描的功能集成到Code Sight的插件上,在研發(fā)人員寫(xiě)下這一行的代碼,打開(kāi)和保存的同時(shí)就觸發(fā)分析,讓開(kāi)發(fā)人員在第一時(shí)間就能夠享受到安全帶來(lái)的一些便利。
從幾年前就在強調安全左移的概念,但最近兩年其實(shí)看到隨著(zhù)云化的部署和其他各種各樣的部署形式,隨著(zhù)云原生等等開(kāi)展,隨著(zhù)在DevOps的開(kāi)展,可能單純地左移不一定能夠解決安全問(wèn)題了。在整個(gè)開(kāi)發(fā)運營(yíng)的各個(gè)環(huán)節,各個(gè)階段都有相應的安全活動(dòng)需要開(kāi)展,楊國梁展開(kāi)道。
快速構建可信安全的軟件
現在整個(gè)行業(yè)都在做數字化轉型,其實(shí)數字化轉型過(guò)程中的重中之重就是確保軟件可信。如何能夠更加快速地構建可信安全的軟件,以有效地管理業(yè)務(wù)風(fēng)險?新思科技總結了以下三點(diǎn):
首先,保護軟件供應鏈安全,使用全面的AST工具,檢測專(zhuān)有代碼、OSS/第三方依賴(lài)項、應用程序行為和部署配置中的安全性、質(zhì)量和合規性問(wèn)題。
其次,將安全性納入DevOps,借助智能AST編排和關(guān)聯(lián),幫助團隊保持DevOps速度,并將修復重點(diǎn)放在對業(yè)務(wù)最關(guān)鍵的問(wèn)題上。
最后,建立全面的應用安全項目,這使人員、流程和技術(shù)保持一致,以解決整個(gè)企業(yè)和應用生命周期所有階段的安全風(fēng)險。
楊國梁總結道:從流程的角度來(lái)看,Code Sight能夠補充并且改進(jìn)應用安全測試效率,讓開(kāi)發(fā)團隊更有效的貫徹“安全左移”。采用Code Sight 標準版,開(kāi)發(fā)人員在編碼時(shí)就能修復安全缺陷,減輕了下游安全測試的負載,也避免了在開(kāi)發(fā)人員已經(jīng)執行其它任務(wù)時(shí)才發(fā)現之前的代碼缺陷和漏洞,最大限度地減少了代價(jià)高昂的返工,更快地發(fā)布更高質(zhì)量的軟件。
總結:
正如新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Jason Schmitt所言:在現代軟件開(kāi)發(fā)中,“速度為王”,并且軟件風(fēng)險等同于業(yè)務(wù)風(fēng)險。這就意味著(zhù)開(kāi)發(fā)人員肩負重任,需要確保軟件安全和公司業(yè)務(wù)安全。Code Sight插件嵌入了市場(chǎng)領(lǐng)先的開(kāi)源和代碼分析技術(shù),根據開(kāi)發(fā)人員的速度要求進(jìn)行了優(yōu)化,并且可以直接集成在他們正在使用的工具中,不愧為開(kāi)發(fā)人員的“神兵利器”。