新的Polaris功能将IDE中的SCA和SAST结合在一起,使得开发人员可以主动查找并修复第三方和自定义组件中的安全风险
应用安全测试 (AST) 是关键的应用安全组件,也是任何软件安全计划的基石。如果您希望保持软件安全并保护客户数据,就务必要尽可能获得最准确的安全评估、快速识别安全风险并最大限度地减少误报以实现高效的补救。
新思科技推出首个可以在开发人员桌面分析开源和专有代码的应用安全测试解决方案,使得开发人员在不降低开发速度的前提下保证应用程序的安全性。
新思科技(Synopsys, Inc.,Nasdaq: SNPS)于2月18日发布Polaris软件完整性平台的重大更新,通过Code Sight IDE 插件的本机集成将其静态应用安全测试(SAST)和软件组成分析(SCA)的功能扩展到开发人员的桌面。这些功能在同类解决方案中是史无前例的,将使开发人员能够主动查找并修复专有代码中的安全缺陷以及开源代码依赖项中的已知漏洞,而无需离开他们的交互式开发环境(IDE)。
新思科技软件质量与安全部门解决方案副总裁Simon King表示:“在现代开发环境中,安全测试需要无缝集成到开发人员的工作流程中,但同时还需要覆盖专有代码和第三方代码。通过在IDE中同时提供实时的SAST和SCA结果,新思科技可以使开发人员能够在构建自己的应用程序时检测在其自身代码以及所利用的开源组件中的安全缺陷。开发人员可以实时解决问题,避免因问题未被发现而开发人员继续执行其他任务之后的数天、数周甚至数月产生的风险和生产的损失。随着新功能的发布,Code Sight IDE插件的本机集成使开发人员能够更快地构建安全、高质量的软件。”
关于Code Sight IDE插件的更多信息:
- 在2019年首次推出Code Sight SAST功能的基础上,新的版本引入了可以分析已声明和可传递开源依赖项的功能,并在IDE中的SAST发现中标记已知安全问题的组件。
- 使用新的SCA功能,开发人员可以在不离开IDE的情况下查看已标记组件的已知漏洞,以验证风险并确定修复选项。
- Code Sight插件提供来自新思科技独立研究的黑鸭安全公告(BDSCAs)的漏洞信息以及来自国家漏洞数据库(NVD)的公共CVE记录。
- BDSAs为开发人员提供了比NVD更及时、准确以及彻底的风险和补救信息,帮助他们比用其他解决方法更快地查找和修复漏洞。
- Code Sight通过提供详细的修补指南,引导开发人员到更安全的组件版本,来帮助开发人员快速识别并选择最佳的漏洞修复方法。之后开发人员可以立即实施修补程序,而无需中断工作流程或离开IDE。
- 除了漏洞信息之外,Code Sight插件还提供开发人员可以用来优化组件选择的其他信息,包括开源许可证风险以及可能违反组织预定义的开源策略的安全性和许可证合规性。
