隨著5G、計(jì)算機(jī)視覺、空間音頻、物聯(lián)網(wǎng)等等技術(shù)的發(fā)展,人與物、物與物之間的互聯(lián)變得更加緊密。這意味著更多的設(shè)備被連接到互聯(lián)網(wǎng),攻擊面也更廣。因此,人們對(duì)隱私泄露風(fēng)險(xiǎn)、數(shù)據(jù)安全隱患愈加關(guān)注。新思科技憑借成熟、專業(yè)的應(yīng)用安全測(cè)試解決方案,幫助全球諸多物聯(lián)網(wǎng)及相關(guān)企業(yè)以滿足業(yè)務(wù)需要的速度開發(fā)可信互聯(lián)設(shè)備,CEVA公司是其中一家。
挑戰(zhàn):執(zhí)行編碼標(biāo)準(zhǔn)并降低許可證風(fēng)險(xiǎn)
CEVA是排名前列的無線連接和智能傳感技術(shù)以及共創(chuàng)解決方案授權(quán)商,旨在打造更智能、更安全、互聯(lián)的世界。許多世界領(lǐng)先的半導(dǎo)體系統(tǒng)公司和OEM廠商都在使用CEVA的IP,以此為移動(dòng)、消費(fèi)、汽車、機(jī)器人、工業(yè)、航空航天和國防以及物聯(lián)網(wǎng)(IoT)等各種終端市場(chǎng)開發(fā)高能效、智能、安全、互聯(lián)的設(shè)備。
CEVA的DevOps/實(shí)時(shí)開發(fā)經(jīng)理Ori Leibovich面臨著雙重挑戰(zhàn):在更高效地執(zhí)行編碼標(biāo)準(zhǔn)的同時(shí)降低許可證相關(guān)風(fēng)險(xiǎn)。近期,在幫助汽車行業(yè)的片上系統(tǒng)(SoC)設(shè)計(jì)提升處理能力的過程中,Ori Leibovich發(fā)現(xiàn)CEVA的安全計(jì)劃需要符合汽車行業(yè)嚴(yán)格的安全要求。更有甚者,他指出:“CEVA的軟件開發(fā)在最近幾個(gè)月增長迅速”,這使得能夠跟上開發(fā)速度增幅的自動(dòng)化解決方案變得尤為關(guān)鍵。
有了成熟的安全計(jì)劃后,CEVA需要能夠無縫適應(yīng)現(xiàn)有開發(fā)活動(dòng)和工具的解決方案,并且這個(gè)解決方案還能夠支持當(dāng)前的安全工作,而不會(huì)減慢現(xiàn)有計(jì)劃或使其變得過于復(fù)雜。
Ori Leibovich熱切期望通過汽車行業(yè)安全認(rèn)證,這促使他對(duì)CEVA的安全計(jì)劃進(jìn)行了雙管齊下的升級(jí):部署強(qiáng)大的靜態(tài)應(yīng)用安全測(cè)試(SAST)和軟件組成分析(SCA)工具。
解決方案:新思科技Black Duck SCA和Coverity SAST
CEVA選擇將Black Duck? SCA和Coverity? SAST引入其現(xiàn)有開發(fā)管道中。Black Duck的自動(dòng)策略管理解決方案使工作團(tuán)隊(duì)能夠輕松地預(yù)先定義開源代碼使用、安全風(fēng)險(xiǎn)及許可證合規(guī)策略,同時(shí)在整個(gè)軟件開發(fā)生命周期(SDLC)中自動(dòng)執(zhí)行這些策略?所有這些均使用開發(fā)人員的現(xiàn)有工具來完成。新思科技Coverity是快速、準(zhǔn)確且高度可擴(kuò)展的SAST解決方案,使開發(fā)和安全團(tuán)隊(duì)能夠在SDLC的早期階段就輕松處理安全和質(zhì)量缺陷。他們可以輕松地追蹤和管理整個(gè)應(yīng)用組合中的風(fēng)險(xiǎn),并確保符合安全和編碼標(biāo)準(zhǔn)。
Ori Leibovich指出,他的團(tuán)隊(duì)“增長迅速。因此我們認(rèn)為,開源代碼自動(dòng)檢測(cè)工具對(duì)于規(guī)避法律問題至關(guān)重要”。CEVA將新思科技Black Duck部署到一個(gè)大約涵蓋400名開發(fā)人員和數(shù)十萬行代碼的環(huán)境中,并開始每周運(yùn)行Black Duck掃描。Black Duck與現(xiàn)有管道的無縫集成使CEVA能夠?qū)⑵漭p松添加到現(xiàn)有的安全活動(dòng)中,并讓其識(shí)別軟件中的所有開源代碼。據(jù)他稱,經(jīng)過驗(yàn)證,CEVA認(rèn)為市場(chǎng)上所有其它的SCA工具都“不可能實(shí)現(xiàn)這種級(jí)別的檢查”。
汽車行業(yè)的ISO 26262 ASIL-B標(biāo)準(zhǔn)和ISO 9001質(zhì)量/可靠性標(biāo)準(zhǔn)給CEVA提出了非常具體的安全要求。ASIL是ISO 26262標(biāo)準(zhǔn)專為道路車輛功能安全定義的風(fēng)險(xiǎn)分類系統(tǒng)。該標(biāo)準(zhǔn)期望車輛“沒有不合理的風(fēng)險(xiǎn)”,該期望一直延伸到操控車輛的應(yīng)用代碼質(zhì)量。同樣,ISO 9001要求企業(yè)堅(jiān)守高標(biāo)準(zhǔn)的誠信度和質(zhì)量;企業(yè)必須能夠證明其有能力持續(xù)提供符合監(jiān)管要求的產(chǎn)品。作為值得信賴的行業(yè)領(lǐng)導(dǎo)者,CEVA希望快速確保并證明其有能力滿足所有要求,并繼續(xù)提供最優(yōu)質(zhì)的產(chǎn)品和解決方案,包括處理器、傳感器集線器和數(shù)字信號(hào)處理器等。
Ori Leibovich表示:“在考察了多款工具之后,我們發(fā)現(xiàn)Coverity最容易集成到我們的CI/CD流程中,并且最容易與我們內(nèi)部開發(fā)的編譯器一起使用?!爆F(xiàn)在,借助Coverity, CEVA可以全面跟蹤和管理合規(guī)性,確保滿足廣泛的安全、質(zhì)量和數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。
成效:輕松合規(guī)并降低風(fēng)險(xiǎn)
遵守行業(yè)標(biāo)準(zhǔn)和法規(guī)可能會(huì)令人望而卻步。而且,隨著開發(fā)速度加快,發(fā)現(xiàn)和識(shí)別代碼并確保其質(zhì)量及安全性變得日益困難。如何處理所發(fā)現(xiàn)的不合規(guī)行為可能難上加難。
Coverity允許開發(fā)人員按類別輕松篩選已發(fā)現(xiàn)的問題,查看趨勢(shì)報(bào)告,根據(jù)嚴(yán)重程度確定漏洞修復(fù)的優(yōu)先級(jí)。最重要的是,可以跨團(tuán)隊(duì)和項(xiàng)目來管理策略合規(guī)。
CEVA將Coverity快速集成到其CI/CD 流程中,然后證明其滿足行業(yè)監(jiān)管要求。Ori Leibovich發(fā)現(xiàn)Coverity“提高了代碼質(zhì)量和安全性”,幫助“以低誤報(bào)率發(fā)現(xiàn)缺陷”并“執(zhí)行MISRA C和AUTOSAR C++等編碼標(biāo)準(zhǔn)”。最重要的是,Coverity很容易“與內(nèi)部開發(fā)的編譯器相集成”,這意味著現(xiàn)有的開發(fā)活動(dòng)不會(huì)受到這個(gè)新增方案的干擾。
如果沒有應(yīng)用組合中代碼的完整視圖,特別是開源代碼,企業(yè)將會(huì)面臨安全性、許可證合規(guī)和代碼質(zhì)量風(fēng)險(xiǎn)。許可違規(guī)可能給企業(yè)帶來代價(jià)慘重的訴訟風(fēng)險(xiǎn),或損害企業(yè)寶貴的知識(shí)產(chǎn)權(quán)。
Black Duck幫助CEVA消除了開發(fā)環(huán)境的許可合規(guī)證風(fēng)險(xiǎn)。在考察了數(shù)款工具之后,CEVA發(fā)現(xiàn)Black Duck最容易集成,對(duì)其蓬勃發(fā)展的安全計(jì)劃破壞最小,同時(shí)還能立竿見影見到
成效。Ori Leibovich表示,Black Duck“將開源代碼識(shí)別和管理功能集成到了我們的SDLC中”并幫助“識(shí)別我們正在使用的開源許可證”,所有這些都是有助于將許可證違規(guī)風(fēng)險(xiǎn)降至最低的關(guān)鍵活動(dòng)。
新思科技幫助CEVA加強(qiáng)了安全工作,助力其解決方案實(shí)現(xiàn)了安全質(zhì)量承諾。通過加強(qiáng)安全與合規(guī)工作,CEVA增強(qiáng)了客戶對(duì)其產(chǎn)品的信任。談到公司的最新安全態(tài)勢(shì),Ori Leibovich指出,“CEVA嚴(yán)格按照安全協(xié)議開展工作,沒有因?yàn)槭褂瞄_源代碼而與客戶產(chǎn)生矛盾。我們可以展示這些代碼都要經(jīng)過靜態(tài)分析工具的分析,因此,公司擁有質(zhì)量更好的軟件。我們也可以向客戶證明CEVA是嚴(yán)格按照安全協(xié)議開展工作的。”
現(xiàn)在,新思科技Coverity和Black Duck掃描工具可在CEVA的開發(fā)管道中自動(dòng)啟動(dòng),并為開發(fā)人員和管理人員提供詳細(xì)的報(bào)告,以便他們確保安全性與合規(guī)性。這樣,開發(fā)團(tuán)隊(duì)便可以騰出時(shí)間專注于本職工作,集中精力開發(fā)他們所擅長的業(yè)界領(lǐng)先的處理器和平臺(tái)IP解決方案。