新思科技助力CEVA公司更高效地執(zhí)行編碼標準并降低許可風(fēng)險

隨著5G、計算機視覺、空間音頻、物聯(lián)網(wǎng)等等技術(shù)的發(fā)展，人與物、物與物之間的互聯(lián)變得更加緊密。這意味著更多的設(shè)備被連接到互聯(lián)網(wǎng)，攻擊面也更廣。因此，人們對隱私泄露風(fēng)險、數(shù)據(jù)安全隱患愈加關(guān)注。新思科技憑借成熟、專業(yè)的應(yīng)用安全測試解決方案，幫助全球諸多物聯(lián)網(wǎng)及相關(guān)企業(yè)以滿足業(yè)務(wù)需要的速度開發(fā)可信互聯(lián)設(shè)備，CEVA公司是其中一家。

挑戰(zhàn)：執(zhí)行編碼標準并降低許可證風(fēng)險

CEVA是排名前列的無線連接和智能傳感技術(shù)以及共創(chuàng)解決方案授權(quán)商，旨在打造更智能、更安全、互聯(lián)的世界。許多世界領(lǐng)先的半導(dǎo)體系統(tǒng)公司和OEM廠商都在使用CEVA的IP，以此為移動、消費、汽車、機器人、工業(yè)、航空航天和國防以及物聯(lián)網(wǎng)(IoT)等各種終端市場開發(fā)高能效、智能、安全、互聯(lián)的設(shè)備。

CEVA的DevOps/實時開發(fā)經(jīng)理Ori Leibovich面臨著雙重挑戰(zhàn)：在更高效地執(zhí)行編碼標準的同時降低許可證相關(guān)風(fēng)險。近期，在幫助汽車行業(yè)的片上系統(tǒng)(SoC)設(shè)計提升處理能力的過程中，Ori Leibovich發(fā)現(xiàn)CEVA的安全計劃需要符合汽車行業(yè)嚴格的安全要求。更有甚者，他指出：“CEVA的軟件開發(fā)在最近幾個月增長迅速”，這使得能夠跟上開發(fā)速度增幅的自動化解決方案變得尤為關(guān)鍵。

有了成熟的安全計劃后，CEVA需要能夠無縫適應(yīng)現(xiàn)有開發(fā)活動和工具的解決方案，并且這個解決方案還能夠支持當前的安全工作，而不會減慢現(xiàn)有計劃或使其變得過于復(fù)雜。

Ori Leibovich熱切期望通過汽車行業(yè)安全認證，這促使他對CEVA的安全計劃進行了雙管齊下的升級：部署強大的靜態(tài)應(yīng)用安全測試(SAST)和軟件組成分析(SCA)工具。

解決方案：新思科技Black Duck SCA和Coverity SAST

CEVA選擇將Black Duck® SCA和Coverity® SAST引入其現(xiàn)有開發(fā)管道中。Black Duck的自動策略管理解決方案使工作團隊能夠輕松地預(yù)先定義開源代碼使用、安全風(fēng)險及許可證合規(guī)策略，同時在整個軟件開發(fā)生命周期(SDLC)中自動執(zhí)行這些策略?所有這些均使用開發(fā)人員的現(xiàn)有工具來完成。新思科技Coverity是快速、準確且高度可擴展的SAST解決方案，使開發(fā)和安全團隊能夠在SDLC的早期階段就輕松處理安全和質(zhì)量缺陷。他們可以輕松地追蹤和管理整個應(yīng)用組合中的風(fēng)險，并確保符合安全和編碼標準。

Ori Leibovich指出，他的團隊“增長迅速。因此我們認為，開源代碼自動檢測工具對于規(guī)避法律問題至關(guān)重要”。CEVA將新思科技Black Duck部署到一個大約涵蓋400名開發(fā)人員和數(shù)十萬行代碼的環(huán)境中，并開始每周運行Black Duck掃描。Black Duck與現(xiàn)有管道的無縫集成使CEVA能夠?qū)⑵漭p松添加到現(xiàn)有的安全活動中，并讓其識別軟件中的所有開源代碼。據(jù)他稱，經(jīng)過驗證，CEVA認為市場上所有其它的SCA工具都“不可能實現(xiàn)這種級別的檢查”。

汽車行業(yè)的ISO 26262 ASIL-B標準和ISO 9001質(zhì)量/可靠性標準給CEVA提出了非常具體的安全要求。ASIL是ISO 26262標準專為道路車輛功能安全定義的風(fēng)險分類系統(tǒng)。該標準期望車輛“沒有不合理的風(fēng)險”，該期望一直延伸到操控車輛的應(yīng)用代碼質(zhì)量。同樣，ISO 9001要求企業(yè)堅守高標準的誠信度和質(zhì)量;企業(yè)必須能夠證明其有能力持續(xù)提供符合監(jiān)管要求的產(chǎn)品。作為值得信賴的行業(yè)領(lǐng)導(dǎo)者，CEVA希望快速確保并證明其有能力滿足所有要求，并繼續(xù)提供最優(yōu)質(zhì)的產(chǎn)品和解決方案，包括處理器、傳感器集線器和數(shù)字信號處理器等。

Ori Leibovich表示：“在考察了多款工具之后，我們發(fā)現(xiàn)Coverity最容易集成到我們的CI/CD流程中，并且最容易與我們內(nèi)部開發(fā)的編譯器一起使用?！爆F(xiàn)在，借助Coverity, CEVA可以全面跟蹤和管理合規(guī)性，確保滿足廣泛的安全、質(zhì)量和數(shù)據(jù)保護標準。

成效：輕松合規(guī)并降低風(fēng)險

遵守行業(yè)標準和法規(guī)可能會令人望而卻步。而且，隨著開發(fā)速度加快，發(fā)現(xiàn)和識別代碼并確保其質(zhì)量及安全性變得日益困難。如何處理所發(fā)現(xiàn)的不合規(guī)行為可能難上加難。

Coverity允許開發(fā)人員按類別輕松篩選已發(fā)現(xiàn)的問題，查看趨勢報告，根據(jù)嚴重程度確定漏洞修復(fù)的優(yōu)先級。最重要的是，可以跨團隊和項目來管理策略合規(guī)。

CEVA將Coverity快速集成到其CI/CD 流程中，然后證明其滿足行業(yè)監(jiān)管要求。Ori Leibovich發(fā)現(xiàn)Coverity“提高了代碼質(zhì)量和安全性”，幫助“以低誤報率發(fā)現(xiàn)缺陷”并“執(zhí)行MISRA C和AUTOSAR C++等編碼標準”。最重要的是，Coverity很容易“與內(nèi)部開發(fā)的編譯器相集成”，這意味著現(xiàn)有的開發(fā)活動不會受到這個新增方案的干擾。

如果沒有應(yīng)用組合中代碼的完整視圖，特別是開源代碼，企業(yè)將會面臨安全性、許可證合規(guī)和代碼質(zhì)量風(fēng)險。許可違規(guī)可能給企業(yè)帶來代價慘重的訴訟風(fēng)險，或損害企業(yè)寶貴的知識產(chǎn)權(quán)。

Black Duck幫助CEVA消除了開發(fā)環(huán)境的許可合規(guī)證風(fēng)險。在考察了數(shù)款工具之后，CEVA發(fā)現(xiàn)Black Duck最容易集成，對其蓬勃發(fā)展的安全計劃破壞最小，同時還能立竿見影見到成效。Ori Leibovich表示，Black Duck“將開源代碼識別和管理功能集成到了我們的SDLC中”并幫助“識別我們正在使用的開源許可證”，所有這些都是有助于將許可證違規(guī)風(fēng)險降至最低的關(guān)鍵活動。

新思科技幫助CEVA加強了安全工作，助力其解決方案實現(xiàn)了安全質(zhì)量承諾。通過加強安全與合規(guī)工作，CEVA增強了客戶對其產(chǎn)品的信任。談到公司的最新安全態(tài)勢，Ori Leibovich指出，“CEVA嚴格按照安全協(xié)議開展工作，沒有因為使用開源代碼而與客戶產(chǎn)生矛盾。我們可以展示這些代碼都要經(jīng)過靜態(tài)分析工具的分析，因此，公司擁有質(zhì)量更好的軟件。我們也可以向客戶證明CEVA是嚴格按照安全協(xié)議開展工作的?！?

現(xiàn)在，新思科技Coverity和Black Duck掃描工具可在CEVA的開發(fā)管道中自動啟動，并為開發(fā)人員和管理人員提供詳細的報告，以便他們確保安全性與合規(guī)性。這樣，開發(fā)團隊便可以騰出時間專注于本職工作，集中精力開發(fā)他們所擅長的業(yè)界領(lǐng)先的處理器和平臺IP解決方案。