首頁 > 新聞資訊 
DevSecOps?就是“現代軟件交付”的同義詞,它超越了早期的傳統采用方式,成為當今軟件交付領域的主流,并超越了集成和自動化,實現了真正的進步。這同時也是說,安全性必須與“一切皆代碼”的趨勢相同步,以便在不犧牲軟件或代碼質量的情況下,加速從摩擦分歧點到交付、啟用的進程。
但與此同時,DevSecOps 還是存在一些采用方面的挑戰,比如:
“左移”的能力
“左移”對于提升開發生產力,以及從一開始就建立起安全體系至關重要。這意味著,安全工具必須無縫集成至現有的開發人員工作流和工具鏈中,以獲得快速、準確和可操作的反饋,以加速并簡化事故補救和分流進程。
“安全實踐和工具必須適應開發團隊的需求,以及這些團隊使用的開發環境、語言和框架。”
▲ 來源:SANS,“重新思考 DevSecOps 中的 Sec:安全即代碼”研究
在 DevSecOps 中實現安全自動化
自動化是安全“左移”的最大動力。研究表明,使用自動化的組織是真正實施安全測試的兩倍之多;雖然許多企業明確了自動化的必要性,并且已經實施了一些自動化功能,但仍存在更大的改進空間。?
“雖然 95% 的受訪者擁有自動化,但只有33%的受訪者將其部署管道完全自動化。此外,Gartner指出,32%的組織手動整合其安全工具。”
▲ 來源:Gartner?,《安全工具:啟用云原生 DevSecOps》調查分析 ,Dionisio Zumerle,2021 年 9 月 13 日??
確保外包、第三方和開源代碼的安全
近年來,針對軟件供應鏈的攻擊,其嚴重性和頻率都在明顯升級。事實證明,利用開源組件來加速開發過程具有很大的優勢,這就是為什么 98% 的代碼庫都依賴開源組件的原因。然而,供應鏈存在許多盲點或裂縫,極易被攻擊者利用。
98%
的代碼庫依賴于開源組件
300%
新增針對供應鏈的攻擊(2021)
205
修補漏洞的平均天數
61%
的測試應用存在 1 個及以上未列入 OWASP 前 10 名的高度或關鍵漏洞
您存在以上這些顧慮?不用擔心!
領先的安全解決方案 Fortify 可以無縫集成至您現有的開發工具鏈中,通過提供從自動化 SAST 和 DAST 到軟件組成分析等全方位的安全防御,可以在開發生命周期的每一階段為您提供最高質量的威脅發現和補救建議。
(文章來源公眾號:MicroFocus)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
關于億道電子
上海億道電子技術有限公司是國內資深的研發工具軟件提供商,公司成立于2009年,面向中國廣大的制造業客戶提供研發、設計、管理過程中使用的各種軟件開發工具,致力于幫助客戶提高研發管理效率、縮短產品設計周期,提升產品可靠性。
十多年來,先后與ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立戰略合作伙伴關系,并作為他們在中國區的主要分銷合作伙伴服務了數千家中國本土客戶,為客戶提供從芯片級開發工具、EDA設計工具、軟件編譯以及測試工具、結構設計工具、仿真工具、電氣設計工具、以及嵌入式GUI工具等等。億道電子憑借多年的經驗積累,真正的幫助客戶實現了讓研發更簡單、更可靠、更高效的目標。
歡迎關注“億道電子”公眾號
了解更多研發工具軟件知識
