• 您當前的位置是:  首頁 > 訪談 > 企業專訪 >

    新思科技楊國梁:Code Sight賦能快速構建可信安全軟件

    2022-03-29 11:13:19   作者:楊小梅   來源:CTI論壇   評論:0  點擊:


      作為全球第15大軟件公司,新思科技(Synopsys)公司是眾多創新型公司的 Silicon to Software("芯片到軟件")合作伙伴,這些公司致力于開發我們日常所依賴的電子產品和軟件應用。新思科技幫助研發人員構建安全、高質量的軟件,降低風險的同時提升速度及生產力。新思科技是應用安全領域公認的佼佼者,提供靜態分析、軟件組成分析、動態分析解決方案,幫助研發團隊更快地找到專有代碼、開源組件及應用程序行為中的漏洞和缺陷,并修復它們。通過結合行業領先的工具、服務和專業知識,新思科技可以幫助企業優化DevSecOps和整個軟件開發生命周期中的安全和質量。
      在數字經濟時代,軟件驅動創新。因此,管理軟件風險對于保障業務運營和盈利至關重要。日前,在新思科技舉辦的線上媒體交流會上,新思科技中國區軟件應用安全技術總監楊國梁與大家分享了新思科技最新推出的Code Sight插件標準版,并與大家就如何能夠幫助企業更好地適應DevSecOps的轉型,以更快的速度幫助企業交付更加可信和更加安全的軟件進行了溝通交流。
      新思科技中國區軟件應用安全技術總監 楊國梁
      采訪嘉賓簡介:
      楊國梁畢業于瑞典皇家理工學院,獲得碩士學位。他曾在科諾康(Codenomicon)出任安全工程師,由此開啟專注于信息安全的職業生涯。
      在科諾康任職期間,楊國梁幫助企業客戶發現和修復其基于軟件的產品和系統的關鍵安全漏洞。他專注于電信、工業控制系統、汽車、醫療器械及物聯網等領域。
      2015年6月,美國新思科技(Synopsys)收購了科諾康,楊國梁便加入了新思科技軟件質量與安全部門(Software Integrity Group)。
      楊國梁現在帶領新思科技中國安全技術團隊,幫助客戶在軟件開發生命周期及供應鏈方面建立更完善的安全和質量體系。
      軟件開發的重要趨勢:代碼更多,測試頻率更快
      目前在生活中所接觸到的各行各業或者說方方面面,其實和軟件已經產生了直接的關聯,甚至所有的這些軟件已經成為國計民生日常生活必不可少的部分。楊國梁舉例說:F-22戰斗機用到大約170萬行軟件代碼,相比現如今的豪華轎車則包含近1億行軟件代碼;為了支持每天超過400萬次構建,在谷歌的系統中每天運行超過5億次測試,F階段的所有的軟件行業或者說各行各業,其實都是在面臨一個非?焖俚陌l展,隨之代碼也在跟著急劇膨脹。
    • 如何把Security做到DevOps里,變成一個真正的DevSecOps,從而把安全加入到研發運營一體化里面?并且在確保速度和確保發布的前提下,還要確保它的安全?
    • 以云原生的方式來保障企業上云,如何為原生應用做好安全測試的保障?
    • 隨著代碼急劇膨脹,如何把獨立的安全問題轉變為項目級別去應對?
      對于這些問題,楊國梁做了這樣的表述:“代碼更多,測試頻率更快是軟件開發的重要趨勢。如何在開發周期的初始階段就發現并解決問題,更好地適應云原生和DevSecOps轉型,正變得日益迫切。新思科技(Synopsys)最新推出的Code Sight標準版,正好可以應對這些挑戰。”
      Code Sight插件,開發人員的“神兵利器”
      在中國,隨著數字化轉型步伐加速,軟件開發的速度也需要跟上。如果在編寫代碼的時候就能內置安全性,軟件開發也將提速,也能提升安全性。為此,新思科技(Synopsys)全面推出 Code Sight 標準版,這是適用于集成開發環境 (IDE) 的 Code Sight 插件的獨立版本,使開發人員在提交代碼前就能夠快速查找和修復源代碼、開源依賴項、基礎架構即代碼等文件中的安全缺陷。
      楊國梁表示,Code Sight插件,其實可以說是給開發人員提供了一種“神兵利器”,能夠讓他們在開發的第一時間就規避一些潛在的安全問題。
      據介紹,Code Sight 速度更快,返工更少,可分析大型項目:
    • Code Sight是一個輕量級IDE插件,可以直接從IDE應用市場下載和安裝。
    • Coverity靜態應用安全測試(SAST)及Black Duck軟件組成分析(SCA)中新添了Rapid Scan快速掃描功能。Code Sight可憑借快速掃描功能,在后臺快速分析大型項目。
    • 在編碼時就能修復安全缺陷,減輕了下游安全測試的負載,也避免了在開發人員已經執行其他任務時才發現之前的代碼缺陷和漏洞,最大限度地減少了代價高昂的返工。
      從安全左移到無處不移
      Code Sight其實就是一個安全左移非常好的實踐,據介紹,Code Sight在編寫代碼的時候就能將安全內置,查找并關注代碼中的安全缺陷;識別易受攻擊的開源依賴項;通過自動修復更快地解決問題以及編寫更好的代碼并避免安全問題。
      從另外一個角度說,安全左移最好的規避時間點,就是在開發的同時,第一時間在寫的同時,就能夠把安全問題給指出來,避免把這些安全問題在第一時間寫到代碼里面,或者引入到代碼里面。Code Sight其實解決的就是這樣一個問題。
      楊國梁介紹說:通過在IDE應用市場的下載和安裝,我們集成了Coverity,就是新思科技的靜態應用安全測試的工具以及Black Duck軟件組成分析工具,將里面的一些Rapid Scan快速掃描的功能集成到Code Sight的插件上,在研發人員寫下這一行的代碼,打開和保存的同時就觸發分析,讓開發人員在第一時間就能夠享受到安全帶來的一些便利。
      從幾年前就在強調安全左移的概念,但最近兩年其實看到隨著云化的部署和其他各種各樣的部署形式,隨著云原生等等開展,隨著在DevOps的開展,可能單純地左移不一定能夠解決安全問題了。在整個開發運營的各個環節,各個階段都有相應的安全活動需要開展,楊國梁展開道。
      快速構建可信安全的軟件
      現在整個行業都在做數字化轉型,其實數字化轉型過程中的重中之重就是確保軟件可信。如何能夠更加快速地構建可信安全的軟件,以有效地管理業務風險?新思科技總結了以下三點:
      首先,保護軟件供應鏈安全,使用全面的AST工具,檢測專有代碼、OSS/第三方依賴項、應用程序行為和部署配置中的安全性、質量和合規性問題。
      其次,將安全性納入DevOps,借助智能AST編排和關聯,幫助團隊保持DevOps速度,并將修復重點放在對業務最關鍵的問題上。
      最后,建立全面的應用安全項目,這使人員、流程和技術保持一致,以解決整個企業和應用生命周期所有階段的安全風險。
      楊國梁總結道:從流程的角度來看,Code Sight能夠補充并且改進應用安全測試效率,讓開發團隊更有效的貫徹“安全左移”。采用Code Sight 標準版,開發人員在編碼時就能修復安全缺陷,減輕了下游安全測試的負載,也避免了在開發人員已經執行其它任務時才發現之前的代碼缺陷和漏洞,最大限度地減少了代價高昂的返工,更快地發布更高質量的軟件。
      總結:
      正如新思科技軟件質量與安全部門總經理Jason Schmitt所言:在現代軟件開發中,“速度為王”,并且軟件風險等同于業務風險。這就意味著開發人員肩負重任,需要確保軟件安全和公司業務安全。Code Sight插件嵌入了市場領先的開源和代碼分析技術,根據開發人員的速度要求進行了優化,并且可以直接集成在他們正在使用的工具中,不愧為開發人員的“神兵利器”。
    【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

    相關閱讀:

    專題

    CTI論壇會員企業

    37tp色噜噜人体大胆中国人体|你是不是没被c够|亚洲精品国产二区图片欧美|韩国三级bd高清中字