C114讯 6月22日专稿(蒋均牧)在展开应用软件开发之前,你或许先要找到一个帮助使能产品安全性的助手。
在全球数字化进程加快的同时,Facebook这样的数据泄露问题正愈演愈烈,从软件开发这一源头进行风险及合规性的管控业已成为大势所趋。作为业界公认的软件安全测试领导者,新思科技公司(Synopsys)以其独有的“贯穿软件开发生命周期(SDLC)”的软件安全理念以及周期全覆盖且性能强大的平台工具,已经帮助数以千计的企业防患于未然以及降本增效、缩短产品上市时间。
6月12,新思科技静态代码分析工具Coverity的最新版本201806正式发布。除了在前代版本功能基础上的增强和更新,Coverity 201806还可无缝关联新思科技全新的eLearning在线学习平台,并进一步强化了该公司“将检测阶段尽可能往左推(将检测更早地纳入软件开发过程)”的努力,给使用者带来前所未有的便利体验与协同效应。
正视应用软件安全
当越来越多的业务被运行于应用软件,软件本身的安全与否已经直接与个人、组织乃至社会的安全性息息相关。
尽管在数据安全上的投资不断增长,但一个令人沮丧的事实是个人信息和企业数据的泄露事件有增无减,或许应当换种思路来应对。新思科技软件质量与安全部门(SIG)高级安全架构师杨国梁告诉C114:“现在数据安全、隐私安全被谈论得比较多,但更应正式应用软件的安全。数据泄露是一个结果,原因之一是处理数据的应用软件写得不够健壮、存在问题,从而被黑客利用了。”
新思科技软件质量与安全部门专注的即是软件代码开发过程中的端到端安全,其所主打的Coverity致力于从源头开始规避风险,“在2B的阶段就把问题解决掉,而不是留到2C时才发现”。
被权威独立调研机构Gartner和Forrester评为“静态应用安全测试领导者”的Coverity优势何在?据介绍,它可以迅速分析超过一亿行的大型代码库,在软件出现漏洞、系统崩溃之前检测出潜在危险,大幅减少维修花销,帮助企业降低成本和风险。截至目前,已经有上千家企业受益于Coverity的强大功能。
在此背后,则是新思科技在技术创新上不遗余力的投入——近年来,这家技术驱动型的公司持续将30%以上的营收投入到研发之中,为业界所鲜有。而2016年正式成立的武汉研发中心Coverity团队也在此次升级中出力不小,按杨国梁的说法,目前在武汉有20多位新思科技工程师专门从事Coverity的开发,他们所负责的工作占据了相当比重。
Coverity 201806五大亮点
为帮助客户应对新时代层出不穷的变化与挑战,新思科技每年会对Coverity升级两次,以及不定时打一些补丁。Coverity 201806即是其最新一次版本更新,在硅谷与武汉进行了全球同步首发。
在杨国梁口中,Coverity 201806主要实现了五个方面的创新与提升。首先是关联了在线学习平台,方便研发人员参加相关培训课程、丰富工作所需知识;其次是增强了幽灵(Spectre)安全漏洞检查功能,识别易受攻击的代码模式,新思科技亦是业界首批针对幽灵安全漏洞攻击提供源代码级安全监测的厂商;第三是新增或更新行业编码标准的支持,包括支持OWASP Top 10 2017、CERT C++、MISRA C: 2012 TC1以及DISA STIG,以帮助使用者更快开发符合行业标准的应用程序;第四是新增或更新对编码语言和框架的支持,提升了安全分析能力,可检测到Python、Java和Swift应用的更多漏洞;此外,Coverity 201806在性能上亦有极大提升,能使大型代码库分析时间减少40%、静态分析数据库占用空间消耗降低10%-30%。