新思科技將推出下一代Polaris Software Integrity Platform?

為了有效保護(hù)應(yīng)用免受日益增長(zhǎng)的網(wǎng)絡(luò)攻擊，企業(yè)需要在軟件開發(fā)生命周期(SDLC)多個(gè)環(huán)節(jié)中采用安全測(cè)試技術(shù)的組合。然而管理多種工具組合的復(fù)雜性也越來(lái)越高。為此，新思科技在2019年推出了Polaris應(yīng)用安全平臺(tái)，將多個(gè)強(qiáng)大的分析引擎整合到一個(gè)解決方案中，并持續(xù)更新其性能，以便用戶可以根據(jù)應(yīng)用、項(xiàng)目、時(shí)間表或 SDLC 事件在不同的時(shí)間靈活地運(yùn)行不同的測(cè)試。

新思科技(Synopsys, Nasdaq:?SNPS) 近日宣布將推出新一代Polaris Software Integrity Platform?軟件質(zhì)量與安全平臺(tái)。該平臺(tái)提供全新功能——快速應(yīng)用安全測(cè)試(Fast Application Security Testing, fAST)，并將于2023年4月24日至27日在美國(guó)舊金山RSA信息安全大會(huì)上進(jìn)行首秀。憑借新思科技fAST Static靜態(tài)應(yīng)用安全測(cè)試和 fAST SCA軟件組成分析， DevOps 團(tuán)隊(duì)能夠通過(guò)一個(gè)完全集成的 SaaS 平臺(tái)快速找到并修復(fù)其專有代碼和開源依賴項(xiàng)中的漏洞。

在現(xiàn)代云架構(gòu)和可擴(kuò)展的多租戶SaaS交付的支持下，Polaris 平臺(tái)使開發(fā)人員能夠在幾分鐘內(nèi)輕松上手并開始掃描代碼，同時(shí)賦能安全團(tuán)隊(duì)，追蹤測(cè)試活動(dòng)并管理數(shù)千個(gè)應(yīng)用的潛在風(fēng)險(xiǎn)。

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示：“現(xiàn)在，各種規(guī)模的開發(fā)、DevOps 和安全團(tuán)隊(duì)都需要一套完全集成和自動(dòng)化的解決方案。該解決方案結(jié)合多種測(cè)試技術(shù)，降低復(fù)雜性，并與現(xiàn)代DevSecOps的發(fā)展步伐相匹配。通過(guò) Polaris，我們正在提供一個(gè)兼顧多種需求的應(yīng)用安全平臺(tái)。該平臺(tái)將經(jīng)過(guò)驗(yàn)證的同類最佳技術(shù)統(tǒng)一到集成的 SaaS 平臺(tái)中。而且該平臺(tái)隨著技術(shù)的升級(jí)可進(jìn)行擴(kuò)展，并得到眾多行業(yè)領(lǐng)導(dǎo)者的支持?！?/p>

Polaris 軟件質(zhì)量與安全平臺(tái)的最新增強(qiáng)功能加速了開發(fā)、DevOps 和安全團(tuán)隊(duì)的工作流程，使他們能夠：

• 通過(guò)單一平臺(tái)執(zhí)行靜態(tài)應(yīng)用安全測(cè)試(SAST) 和軟件組成分析(SCA)。新思科技fAST Static 和 fAST SCA 建立在成熟的 Coverity? 靜態(tài)應(yīng)用安全測(cè)試和 Black Duck? 分析引擎之上，只需一次單擊即可加速準(zhǔn)確檢測(cè)源代碼和開源軟件中的漏洞，無(wú)需配置。 新思科技 fAST Static 的多線程分析允許用戶運(yùn)行增量掃描，速度比完整掃描快 5-10 倍，并且不會(huì)損失準(zhǔn)確性；而新思科技 fAST SCA 則為團(tuán)隊(duì)提供開源漏洞的詳細(xì)分析。得益于此，用戶可以獲得應(yīng)用缺陷及漏洞的完整信息，加速解決風(fēng)險(xiǎn)。
• 通過(guò)簡(jiǎn)化的集成和自動(dòng)化將安全性構(gòu)建到DevOps 中。開箱即用的無(wú)縫集成可以輕松將Polaris平臺(tái)連接到Jenkins和 Jira Cloud，以及GitHub、GitLab和Azure DevOps代碼存儲(chǔ)庫(kù)。團(tuán)隊(duì)可以在整個(gè)企業(yè)中快速載入用戶信息和應(yīng)用，并根據(jù)定義的計(jì)劃或作為任何CI工作流的一部分輕松地自動(dòng)執(zhí)行掃描。他們還可以定義安全策略以在發(fā)現(xiàn)漏洞時(shí)觸發(fā)警報(bào)或停止構(gòu)建，內(nèi)置報(bào)告和分析支持可操作性，從而簡(jiǎn)化修復(fù)工作流程并追蹤應(yīng)用和團(tuán)隊(duì)的進(jìn)度。
• 在企業(yè)范圍內(nèi)管理應(yīng)用安全風(fēng)險(xiǎn)。Polaris 軟件質(zhì)量與安全平臺(tái)的多租戶 SaaS交付包括彈性容量、跨項(xiàng)目和掃描類型的并發(fā)掃描，以最大限度地縮短獲得結(jié)果的時(shí)間，并可輕松擴(kuò)展到數(shù)千個(gè)應(yīng)用，滿足大型企業(yè)開發(fā)團(tuán)隊(duì)的需求。對(duì)于安全團(tuán)隊(duì)，該平臺(tái)的集成漏洞分析工具有助于在直觀的儀表板中實(shí)時(shí)識(shí)別整個(gè)軟件組合中的應(yīng)用安全熱點(diǎn)。該儀表板顯示應(yīng)用、項(xiàng)目和測(cè)試類型中的漏洞嚴(yán)重性和類型。此外，Polaris 還提供分類服務(wù)，以便新思科技應(yīng)用安全專家審查靜態(tài)分析結(jié)果并消除誤報(bào)，從而顯著提高掃描的效率、準(zhǔn)確性和可操作性，同時(shí)確保失敗和配置錯(cuò)誤的掃描不會(huì)中斷管道或開發(fā)人員工作流程。

Gartner 報(bào)告1顯示，80%的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者現(xiàn)在希望通過(guò)更少的供應(yīng)商來(lái)整合他們的安全支出。該分析公司指出，“由于業(yè)界需要降低復(fù)雜性、利用共性、減少管理開銷并確保更有效的安全性，安全技術(shù)在多個(gè)安全領(lǐng)域的融合正在加速。?！?/p>

參考資料：

1. Gartner, Inc. “Top Trends in Cybersecurity 2022” by Richard Addiscott, William Candrick, Peter Firstbrook, et. al., Feb. 18, 2022.