编码 | 构建 | 测试 | 操作 |
---|---|---|---|
开始进行软件开发,包括在 IDE 中设计系统、编写代码并检查错误。 | 在构建阶段,团队根据在计划阶段记录的需求来构建软件。 | 测试团队对软件进行评估,以确定其是否满足必要的需求。 | 在生产环境中部署和监控软件。 |
|
|||
|
|
|
|
|
|
||
|
|||
开发团队依靠复杂的系统和多样化的工具来推动创新,安全团队也不能落后,不能让未经测试的软件投入生产。随着DevOps工作流、AI生成的代码和云原生部署成为常态,AppSec团队必须找到在不影响开发速度的情况下执行安全标准的方法。
Black Duck的DevSecOps解决方案可以帮助您在软件开发生命周期(SDLC)和CI/CD管道中建立自动化安全门,但不会带来软件无法按期交付的风险,也不会给开发人员带来额外的负担。
自动确保安全性
在SDLC的每个阶段和CI/CD管道中集成AppSec测试,以大规模地快速查找和修复问题。扩展跨团队的风险可视性,建立由风险容忍策略控制的自动安全门,最小化下游问题,并减少修复时间和成本。
最大化AppSec的投资回报率
通过可扩展的安全即服务测试平台,将AppSec从成本中心转变为业务驱动因素。通过消除前期支出和基础设施维护负担,缩短AppSec投资的价值实现时间,降低总体拥有成本。
编码 | 构建 | 测试 | 操作 |
---|---|---|---|
开始进行软件开发,包括在 IDE 中设计系统、编写代码并检查错误。 | 在构建阶段,团队根据在计划阶段记录的需求来构建软件。 | 测试团队对软件进行评估,以确定其是否满足必要的需求。 | 在生产环境中部署和监控软件。 |
|
|||
|
|
|
|
|
|
||
|
|||
Black Duck Polaris™Platform是一个集成的、基于云的AppSec测试解决方案,针对DevSecOps需求进行了优化。它可以集中安全策略与控件,轻松管理SAST、SCA和DAST测试,并快速装载项目和存储库,在几分钟内开始扫描代码。
跨越SDLC和CI/CD管道自动执行AppSec测试,以确保及时发现风险并快速补救。帮助开发人员在创建高度安全的应用程序的同时保持生产力,并在不改变工作流的情况下直接向开发人员提供明确的修复优先级和指导。通过强大的CLI为常见的IDE(如VS Code、IntelliJ和Eclipse)、领先的DevOps工具(如GitHub、GitLab和Azure DevOps)和通用的CI提供值得信赖的开箱即用插件。
使用IAST将功能测试转换为安全测试,同时在后台监控web应用交互(如API调用和敏感数据流)。可与现有的手动或自动功能测试一起运行,并自动验证运行时出现的问题以消除误报。可以帮助开发人员满足合规标准(如PCI-DSS和GDPR),而不会增加更多负担。
在不妨碍工作流的情况下,最大限度地减少修复时间并强化开发人员安全标准。这个“安全拼写检查器”采用领先的SAST和SCA引擎并基于IDE,可以帮助开发人员编写质量更高的代码并选择更安全的第三方组件。将安全代码作为开发人员和AI代码生成工具的默认输出,以提供清晰的风险摘要和修复指导,无需他们放弃首选的IDE(如VS code、IntelliJ和Eclipse)。
在安全和开发团队之间建立闭环策略,以排除开发人员桌面上的问题,并加速修复在基于CI/CD管道的安全测试期间发现的问题。针对检测到的问题提供相关的、简洁的交互式指导,并帮助培养更强大的开发人员,就他们目前正在开展的工作提供安全培训。
在决定如何为DevSecOps部署AppSec解决方案时,最好同时考虑安全团队以及工程和运维团队的需求。通常,您会发现只有特定的业务部门或团队才需要内部部署或混合部署。基于SaaS的安全测试,如Polaris,可以通过DevOps和CI/CD管道进行优化,以最大限度地降低DevSecOps的成本。您无需部署硬件或更新软件,也不需要限制团队规模或扫描频率。您可以跨越整个组织机构为用户和应用程序快速部署测试工具,同时针对多种类型的项目和扫描利用弹性容量和并发扫描机制。
Black Duck为SAST、SCA、交互式应用安全测试(IAST)和DAST提供自动化解决方案。这些解决方案可以在CI/CD管道中集成和自动化,并根据预定义的策略和工作流触发器进行配置。Polaris Platform提供了灵活性,允许您基于应用程序、项目、进度或管道事件在管道中的最佳阶段运行最合适的分析引擎。
安全团队必须对开发团队推向下游的所有应用程序和容器的安全风险状态保持可视与控制,这一点非常重要。为了在不妨碍DevOps工作流的情况下做到这一点,面向AppSec测试的Black Duck DevSecOps解决方案可以集成在整个SDLC和整条CI/CD管道中。它可以触发扫描事件,根据策略自动进行优先级排序和分类,并加快修复速度,以实现更高效、更有效的DevSecOps,消除漏洞积压。它可以连接到GitHub、GitLab和Azure DevOps等SCM和CI工具,对专有代码、开源和第三方依赖项执行计划性或触发性扫描,并可以配置自动操作以响应安全策略违规事件,如阻止构建过程、对拉取请求发表评论以及启动问题管理工作流等。
Code Sight可将源代码和开源组件的安全测试直接集成到开发人员首选的IDE中,如VS Code、Visual Studio、IntelliJ和Eclipse。将Code Sight用作“安全拼写检查器”,开发人员可以在不切换工具或中断工作流的情况下发现并修复安全缺陷。Code Sight可以给开发人员提供包和代码行级别的详细修复建议,从而消除对修复的猜测,并提升开发人员的安全技能。此外,开发人员还可以将Code Sight与其他的Black Duck解决方案(如Polaris)连接起来,以审查基于CI/CD管道扫描所检测到的问题及其优先级排序。
与AI生成的代码相关的安全和许可问题本质上与开发人员引入的问题相同。要想为处理这些问题做好准备,首先请预先定义安全测试策略,以自动执行关键的安全步骤,并在SDLC的各个阶段和CI/CD管道中集成适当的测试类型。接下来,您可以使用DevOps安全自动化模板(如Black Duck Security Scan GitHub Action、GitLab Template和Azure DevOps Extension)自动化修复拉取请求,并在问题管理工作流和IDE中提供明确的修复指导,以便开发人员更快地修复问题。这些活动有助于以AI代码生成所需的速度来自动执行并扩展必要的AppSec功能。