为了跟上您软件开发的速度和复杂性,应用安全测试应集成到您的 CI/CD 管道中。但是,每个版本都自动执行完整扫描可能会造成管道堵塞,其扫描结果会导致开发人员不知所措。
Synopsys Intelligent Orchestration 能够在 DevOps 管道中轻松建立安全保障,同时不影响开发速度。它仅在您需要的时候运行您所需的测试,并根据风险对结果进行筛选,开发人员便可专注于最重要的事情。
将安全测试与编译和发布管道隔离开
将安全检查直接加入到您的编译和发布管道中,可能既复杂又耗时。Intelligent Orchestration 为您解决了这一难题。它将安全测试单独放入专用管道中,通过几次 API 调用将其轻松集成到您的现有管道中,然后并行运行。可扩展的集成使 Synopsys 和第三方应用程序安全测试 (AST) 工具轻松连接到安全管道 — 无论它们是在本地还是在云端运行。
根据策略、代码更改和风险优化安全测试
DevSecOps 速度的关键在于效率。并非每次代码更改都需要全面的安全分析。使用 Intelligent Orchestration,您可以将策略设置为定义测试运行规则的代码。
当代码更新在您的管道中运行时,Intelligent Orchestration 会根据这些策略,评估更改以及诸如数据和应用程序的风险概况等其他因素,以确定要运行静态应用程序安全测试 (SAST)、软件组成分析 (SCA)、交互式应用安全测试 (IAST) 或其他测试的组合。
将修复工作集中在最重要的事情上
团队经常难以应对他们所使用的各种 AST 工具得出的大量、易变的测试结果。Intelligent Orchestration 通过优化和标准化所有 AppSec 工具的结果来解决这一问题。
开发人员可以直接在他们已使用的开发和缺陷跟踪工具中获取经筛选和优先的应用程序风险洞察。这有助于避免“漏洞过载”,使团队能够以最低成本实现最大影响。
自动执行手动或带外 AppSec 活动的工作流程
Intelligent Orchestration 策略还可以通过您现有的缺陷跟踪系统和通信渠道启动手动 AppSec 活动,例如代码审查和渗透测试。
这样一来,安全和开发团队能够实施协调的 DevSecOps 工作流程,使安全合规性目标与应用程序开发和版本发布里程碑保持一致。
使团队能够在 DevOps 中建立安全保障
开发人员
缩短查找低优先级缺陷的时间。专注于解决风险最高的问题。
DevOps 工程师
在现有 DevOps 工作流程中轻松添加安全检查,无需破坏工作流程或减慢其速度。
AppSec 团队
确保符合风险策略,并将手动和带外安全活动与 DevOps 工作流集成。
了解 Intelligent Orchestration 的工作原理
