应用安全测试编排

什么是 Intelligent Orchestration?

智能编排 (IO) 是一个专用的应用安全管道,与开发或生产管道并行运行。这个定制的 AppSec 管道在整个软件开发生命周期 (SDLC),而不仅仅是几个阶段,自动执行安全测试。它根据代码更改的重要性、总风险评分和公司自己的安全策略自动运行合适的安全工具或者触发人工测试活动。这帮助安全团队实现在整个组织范围内,针对所有应用轻松实施企业规模的安全流程和策略。

IO 解决哪些问题?

开发主管

安全扫描可能会降低持续集成/持续交付 (CI/CD) 管道的速度,因为扫描自动化通常为每次软件构建运行许多不同的 AppSec 工具,无论实际代码更改了多少,严重程度如何。这会导致摩擦,并可能降低开发速度。

所有这些扫描的结果还会导致开发人员的漏洞信息过载,开发人员必须自行决定要修复或过滤哪些漏洞信息。开发主管通常不会立即收到很有可能破坏构建的关键漏洞的通知。此外,安全团队无法持续向开发人员提供反馈或指导,来确定哪些类型的漏洞在其项目中具有最高优先级。

安全主管

对于安全而言,很难在数千个应用中全面执行其安全策略。此外,许多政策都包含在电子表格或 PDF 中,因此难以执行和扩展。按项目或应用重要性自动执行人工安全活动提醒(例如,人工代码审查威胁模型)是另一个困难之处。安全主管也无法轻松地对他们最重要的事项实施安全关卡,因为他们通常对整个产品组合中最关键的应用风险缺乏了解。这些关键应用风险与安全策略无关,也不受安全策略的约束。

应用安全测试编排 | Synopsys

IO 如何工作?

与现有管道和开发工具链轻松集成。IO 通过简单的 API 调用无缝连接到管道。不需要完全重新实施构建或发布管道来添加安全测试。DevOps 集成使安全分析能够轻松提供与现有其他开发、安全和跟踪工具相结合的结果。

实时确定和执行操作。IO 有助于确保在合适的时间运行合适的测试。在安全团队将 AppSec 策略定义为代码(如可读 XML 文件)后,IO 中的专利技术使用这些安全规则来评估代码更改和其他 SDLC 事件,并智能触发适当的 AppSec 安全测试(如静态应用安全测试软件组件分析动态分析测试 (DAST)交互式应用安全测试)。根据实际代码更改、计算的风险评分和公司自己的安全策略,在合适的时间执行合适的测试(或根本不执行)。这节省了时间和资源。

自动执行人工或带外 AppSec 活动的工作流。IO 根据您的策略触发人工 AppSec 活动,例如渗透测试,通过现有缺陷跟踪系统和沟通渠道,帮助安全团队协调安全合规性与开发工作流。

向合适的团队提供正确的信息。IO 根据风险以及安全或开发团队预先确定的标准(例如,仅限关键漏洞或仅限关键 SQLi 漏洞)提供优化和优先级结果。直接过滤结果并转到开发团队已经使用的开发和缺陷跟踪工具中,避免漏洞过载。

IO 提供哪些关键功能?

专用的安全管道。 IO 将安全测试与主要开发管道分开。其专用的 CI 管道可轻松与开发管道集成,并根据 SDLC 事件触发适当的安全分析。

策略即代码。 IO 在智能管道内自动执行安全和风险策略,使组织能够以代码的形式定义策略评估、响应和通知的规则。安全团队可以轻松地在开发工作流中实施安全关卡,因此如果在构建过程中发现关键漏洞,就会收到自动发出的通知。而且他们必须在生产发布前提供批准。

安全工作流自动化。IO 通过开发和安全团队目前使用的标准缺陷跟踪系统和通信渠道,自动启动并管理标准应用安全测试 (AST) 和人工带外 AppSec 活动。

可扩展集成。 IO 将安全分析和结果无缝集成到现有的开发工具和平台中。

AST 分析。 IO 提供对指标的访问,这些指标可以帮助识别差距并展示AST/DevSecOps 实施的有效性。

Synopsys 如何提供帮助?

Synopsys 行业领先的 Intelligent Orchestration 是一流的产品,为 DevSecOps 开发痛点提供了无缝修复。要进一步了解它如何提供帮助,或 IO 如何解决当今的发展难题,请访问 www.synopsys.com/zh-cn/software-integrity/intelligent-orchestration.html