當前位置:首頁 > 廠商動態(tài) > 新思科技(Synopsys)
[導讀]我們正走向萬物互聯(lián)的時代,產(chǎn)業(yè)數(shù)字化轉型是當下及未來的必經(jīng)之路,這一切都離不開軟件的驅動。有數(shù)字化,有軟件,那信息安全問題也隨之而來。企業(yè)在看到數(shù)字化轉型帶來紅利的同時,安全風險不能忽視??梢哉f軟件安全在很大程度上影響數(shù)字化轉型的速度和質量,為產(chǎn)業(yè)數(shù)字化轉型提供有力支撐。

我們正走向萬物互聯(lián)的時代,產(chǎn)業(yè)數(shù)字化轉型是當下及未來的必經(jīng)之路,這一切都離不開軟件的驅動。有數(shù)字化,有軟件,那信息安全問題也隨之而來。企業(yè)在看到數(shù)字化轉型帶來紅利的同時,安全風險不能忽視??梢哉f軟件安全在很大程度上影響數(shù)字化轉型的速度和質量,為產(chǎn)業(yè)數(shù)字化轉型提供有力支撐。

由于新技術不斷涌現(xiàn)及其應用日趨成熟,軟件開發(fā)模式發(fā)生改變,DevOps 快速興起,并緊隨安全“左移”被廣泛認可,DevSecOps 已經(jīng)成為很多企業(yè)數(shù)字化轉型過程中應用安全的基礎保障。這不僅有利于企業(yè)更快速、更安全地將產(chǎn)品上市,也加速了社會數(shù)字經(jīng)濟的發(fā)展。

新思科技一直致力于幫助企業(yè)更快速地構建安全、優(yōu)質的軟件,在推動DevSecOps落地方面有豐富經(jīng)驗。新思科技強調引入DevSecOps可以從源頭及時治理安全問題,走出“安全孤島”。但是隨著網(wǎng)絡環(huán)境與黑客攻擊方式越來越復雜、企業(yè)文化鴻溝以及高效工具缺失等問題,落地DevSecOps對于現(xiàn)代IT企業(yè)來說是一件很棘手的工作。

新思科技軟件質量與安全部門高級安全架構師楊國梁表示:“DevSecOps不止是一套工具,而是融合開發(fā)、安全及運營理念以創(chuàng)建解決方案的系統(tǒng)方法。這需要把人員、流程、技術、工具結合起來,由內到外強化應用,使其能夠靈活防御各種潛在威脅。新思科技通過實際經(jīng)驗總結出一些建議,助力企業(yè)更高效地落地DevSecOps,進而推動產(chǎn)業(yè)數(shù)字化轉型,更快地邁上高質量發(fā)展之路。”

培養(yǎng) DevSecOps 文化和思維,進行安全培訓

DevSecOps的核心是文化和思維方式。以前,安全防護只是特定團隊的責任,在開發(fā)的最后階段才會加入;但是這種做法現(xiàn)在已經(jīng)行不通了。DevSecOps要求

通過專業(yè)培訓在企業(yè)內部全面建立起安全意識與安全保障機制。有些企業(yè)會有一種誤區(qū),覺得開發(fā)人員可以滿足整個軟件開發(fā)生命周期(SDLC)中的任何安全需求,或者開發(fā)人員可以自學這些安全知識。

楊國梁介紹道:“自學可能適用于少數(shù)開發(fā)人員,但是需要多長時間以及評估指標是什么很難界定,尤其是DevSecOps還沒有在真正意義上普及起來。企業(yè)更需要安全專家提供培訓,以幫助他們與時俱進。新思科技可以提供安全發(fā)展計劃和培訓、CI/CD 戰(zhàn)略與規(guī)劃及云安全評估等,推動企業(yè)循序漸進地部署DevSecOps?!?

企業(yè)可以將DevSecOps文化融入日常職能,平衡安全、速度和規(guī)模。如果內部某一團隊有效實施了DevSecOps,并從中獲益,那他們可以成為其他團隊的范例,復制成功。

整合自動化工具,內置安全

云計算開源產(chǎn)業(yè)聯(lián)盟近期發(fā)布的《中國DevOps現(xiàn)狀調查報告(2021年)》顯示,五成以上的受訪企業(yè)嘗試實踐DevSecOps。而且,源代碼靜態(tài)安全檢測、容器鏡像安全掃描以及Web應用防火墻成為企業(yè)應用最廣泛的DevSecOps實踐。

楊國梁說:“報告指出Coverity靜態(tài)應用安全測試(SAST)是企業(yè)應用最為廣泛的四種安全工具之一,并且占比最高,達32.74%。這證明了新思科技的靜態(tài)分析解決方案已經(jīng)受到中國市場的充分認可?!?

憑借Coverity,企業(yè)可以實現(xiàn)大規(guī)模靜態(tài)分析自動化,幫助開發(fā)和安全團隊在SDLC早期解決安全和質量缺陷,跟蹤和管理整個應用組合的風險,并確保符合安全和編碼標準。此外,新思科技還提供B(SCA)、Seeker交互式應用安全測試(IAST)以及安全測試等工具,在軟件中內置安全,并貫穿整個SDLC。

將安全漏洞視為軟件缺陷,適時評估安全計劃成果

安全漏洞的報告方式通常不同于質量和功能缺陷。通常,企業(yè)在兩個不同的位置維護兩種類型的結果——安全和質量。這降低了每個團隊和相關人員在查看項目的整體安全狀況時的可見性。在同一處維護安全和質量有助于團隊以相同的方式和優(yōu)先級處理這兩種類型的問題。

在企業(yè)部署工具發(fā)現(xiàn)質量和安全問題并進行修復后,要如何評估安全計劃的整體成果,以持續(xù)推進DevSecOps呢?企業(yè)需要一把標尺。

新思科技軟件安全構建成熟度模型(BSIMM) 是一種基準工具,通過數(shù)據(jù)驅動的客觀方式展示當前軟件安全性活動的概況。與規(guī)定性模型不同,描述性模型BSIMM實際相當于一個行業(yè)報告,企業(yè)可以參照其中的數(shù)據(jù)來定位自己的坐標,考核軟件安全計劃大致在一個什么水準,是否需要做改進和進一步提升等等。企業(yè)可以憑借這把標尺決定哪些額外安全活動對支持其整體DevSecOps戰(zhàn)略有意義,并且有針對性地制定下一步計劃。

楊國梁總結道:“軟件安全是數(shù)字化轉型的‘剛需’,DevSecOps可將安全防護融入整個SDLC,充分發(fā)會DevOps的敏捷性和響應力。當然,落地DevSecOps不會一蹴而就,需要一套整體的規(guī)劃,覆蓋人員、技術、流程、評估等。因此,軟件開發(fā)需要聯(lián)動安全開發(fā)與業(yè)務、運維等,將安全開發(fā)作為企業(yè)文化延伸到各個部門。新思科技一直強調安全測試應盡可能在 SDLC 的最左側(即最早期)開始,即安全‘左移’。防患未然,才能為DevSecOps順利落地保駕護航?!?


本站聲明: 本文章由作者或相關機構授權發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內容真實性等。需要轉載請聯(lián)系該專欄作者,如若文章內容侵犯您的權益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或將催生出更大的獨角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉型技術解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關鍵字: 汽車 人工智能 智能驅動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質量流程IT總裁陶景文發(fā)表了演講。

關鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權最終是由生態(tài)的繁榮決定的。

關鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質量發(fā)展策略,塑強核心競爭優(yōu)勢...

關鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術學會聯(lián)合牽頭組建的NVI技術創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術創(chuàng)新聯(lián)...

關鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關鍵字: BSP 信息技術
關閉