新思科技强调正视应用软件安全 新版Coverity五大亮点助开发者防患于未然

2018-06-22 09:39:38爱云资讯

6月22日 在展开应用软件开发之前,你或许先要找到一个帮助使能产品安全性的助手。

在全球数字化进程加快的同时,Facebook这样的数据泄露问题正愈演愈烈,从软件开发这一源头进行风险及合规性的管控业已成为大势所趋。作为业界公认的软件安全测试领导者,新思科技公司(Synopsys)以其独有的“贯穿软件开发生命周期(SDLC)”的软件安全理念以及周期全覆盖且性能强大的平台工具,已经帮助数以千计的企业防患于未然以及降本增效、缩短产品上市时间。

6月12,新思科技静态代码分析工具Coverity的最新版本201806正式发布。除了在前代版本功能基础上的增强和更新,Coverity 201806还可无缝关联新思科技全新的eLearning在线学习平台,并进一步强化了该公司“将检测阶段尽可能往左推(将检测更早地纳入软件开发过程)”的努力,给使用者带来前所未有的便利体验与协同效应。

正视应用软件安全

当越来越多的业务被运行于应用软件,软件本身的安全与否已经直接与个人、组织乃至社会的安全性息息相关。

尽管在数据安全上的投资不断增长,但一个令人沮丧的事实是个人信息和企业数据的泄露事件有增无减,或许应当换种思路来应对。新思科技软件质量与安全部门(SIG)高级安全架构师杨国梁告诉C114:“现在数据安全、隐私安全被谈论得比较多,但更应正式应用软件的安全。数据泄露是一个结果,原因之一是处理数据的应用软件写得不够健壮、存在问题,从而被黑客利用了。”

新思科技软件质量与安全部门专注的即是软件代码开发过程中的端到端安全,其所主打的Coverity致力于从源头开始规避风险,“在2B的阶段就把问题解决掉,而不是留到2C时才发现”。

被权威独立调研机构Gartner和Forrester评为“静态应用安全测试领导者”的Coverity优势何在?据介绍,它可以迅速分析超过一亿行的大型代码库,在软件出现漏洞、系统崩溃之前检测出潜在危险,大幅减少维修花销,帮助企业降低成本和风险。截至目前,已经有上千家企业受益于Coverity的强大功能。

在此背后,则是新思科技在技术创新上不遗余力的投入——近年来,这家技术驱动型的公司持续将30%以上的营收投入到研发之中,为业界所鲜有。而2016年正式成立的武汉研发中心Coverity团队也在此次升级中出力不小,按杨国梁的说法,目前在武汉有20多位新思科技工程师专门从事Coverity的开发,他们所负责的工作占据了相当比重。

Coverity 201806五大亮点

为帮助客户应对新时代层出不穷的变化与挑战,新思科技每年会对Coverity升级两次,以及不定时打一些补丁。Coverity 201806即是其最新一次版本更新,在硅谷与武汉进行了全球同步首发。

在杨国梁口中,Coverity 201806主要实现了五个方面的创新与提升。首先是关联了在线学习平台,方便研发人员参加相关培训课程、丰富工作所需知识;其次是增强了幽灵(Spectre)安全漏洞检查功能,识别易受攻击的代码模式,新思科技亦是业界首批针对幽灵安全漏洞攻击提供源代码级安全监测的厂商;第三是新增或更新行业编码标准的支持,包括支持OWASP Top 10 2017、CERT C++、MISRA C: 2012 TC1以及DISA STIG,以帮助使用者更快开发符合行业标准的应用程序;第四是新增或更新对编码语言和框架的支持,提升了安全分析能力,可检测到Python、Java和Swift应用的更多漏洞;此外,Coverity 201806在性能上亦有极大提升,能使大型代码库分析时间减少40%、静态分析数据库占用空间消耗降低10%-30%。

与eLearning的联动无疑是Coverity此次升级的最大惊喜,也体现了新思科技在提供更融合、更立体服务体验方面的努力。新思科技eLearning平台是一种以结果为导向、以学习者为中心的培训解决方案,提供沉浸式、持续的生态学习系统,将安全专业知识、培训课程以及案例介绍整合到一个直观的平台;它包含37种课程,广泛覆盖应用安全领域话题,比如风险分析、认证、安全标准、面向网络和移动应用的防御性编程、威胁建模和安全测试策略等。凭借该平台,应用安全教育变得简单、有的放矢且易于理解。

“这种关联并非‘1+1=2’那么简单,而是带来了价值的极大提升。”一方面,Coverity得以能根据常见缺陷列表(CWEs,安全漏洞词典),为开发人员提供上下文相关的应用安全课程;另一方面,基于最高置信水平算法,专有漏洞分析工具可以将检测出来的漏洞与常见缺陷列表进行匹配,进而推荐相关的学习内容。

同时,随着软件开发和迭代的速度加快,新思科技正通过Coverity的不断更新“将检测阶段尽可能往左推”。杨国梁指出,在软件发布的最后阶段再修复问题极为困难,并将导致高昂的返工成本以及不必要的延误,Coverity 201806能够提供实时甚至预测性的检测,帮助使用者及早发现漏洞和进行修复,从而在软件开发的初期就能避免失误。

相关文章
热门文章
头条文章
重点文章
推荐文章
热点文章
关于我们|联系我们|免责声明|会展频道
冀ICP备2022007386号-1 冀公网安备 13108202000871号 爱云资讯 Copyright©2018-2023