多年來，全球許多企業(yè)都采用新思科技Coverity靜態(tài)分析解決方案，輕松按類別篩選已識別的問題，查看趨勢報告，根據(jù)嚴(yán)重程度確定漏洞修復(fù)優(yōu)先級，管理團隊和項目的政策符合性。Cryptsoft是其中一家。

新思科技(Synopsys)在Forrester Wave?發(fā)布的《2021年第一季度靜態(tài)應(yīng)用安全測試》報告中被評為領(lǐng)導(dǎo)者。在12家被評估的供應(yīng)商中，新思科技Coverity靜態(tài)分析解決方案在“現(xiàn)有產(chǎn)品”類別中獲得最高分，并且在“策略”類別中名列前三。

Cryptsoft背景介紹

澳大利亞安全公司Cryptsoft提供用于安全系統(tǒng)設(shè)計、部署、驗證和互操作性的軟件開發(fā)工具。它的產(chǎn)品包括OASIS密鑰管理互操作性協(xié)議(KMIP)、OASIS公鑰密碼標(biāo)準(zhǔn)＃11 (PKCS＃11)和智能卡解決方案。

挑戰(zhàn)：增加和改善安全性，以DevOps的速度進行掃描

隨著企業(yè)將其開發(fā)實踐快速發(fā)展為精簡而敏捷的DevOps方法，能夠適應(yīng)并跟上開發(fā)速度和復(fù)雜性的工具至關(guān)重要。具體來說，這些工具必須無縫集成到現(xiàn)有管道中，而不能“破壞構(gòu)建”或降低開發(fā)速度。

Cryptsoft的軟件產(chǎn)品在業(yè)界廣受贊譽，提供準(zhǔn)確高效的安全掃描。因此，任何集成到其軟件開發(fā)生命周期(SDLC)管道中的安全解決方案都必須能夠充分保持開發(fā)速度。

Cryptsoft創(chuàng)始人兼首席技術(shù)官Tim Hudson表示：“Cryptsoft的客戶中有很多知名的科技公司，他們的綜合期望很高。Cryptsoft為密鑰管理系統(tǒng)和硬件安全模塊提供軟件，我們必須使用所有可能的工具來提高代碼質(zhì)量、安全性及穩(wěn)定性?！?

這項需求關(guān)乎巨大的利益，同時開發(fā)速度需要不斷提升，因此，Cryptsoft尋求可以保持并擴展其DevOps需求的靜態(tài)應(yīng)用安全測試(SAST)解決方案。

Tim Hudson表示，客戶會對產(chǎn)品進行間歇性掃描，Cryptsoft需要先他們一步發(fā)現(xiàn)潛在風(fēng)險。為了滿足這一要求，必須使用功能強大的SAST工具，以便能夠更快地發(fā)現(xiàn)漏洞，并且不會減慢CI（持續(xù)集成）流程。

解決方案：新思科技應(yīng)用安全測試工具

Cryptsoft采用了新思科技Coverity®SAST 解決方案，提升開發(fā)速度及軟件質(zhì)量與安全。

Coverity是一種快速、準(zhǔn)確且高度可擴展的靜態(tài)分析解決方案，可幫助開發(fā)和安全團隊在SDLC早期解決安全和質(zhì)量缺陷，追蹤和管理整個應(yīng)用組合中的風(fēng)險，并確保符合安全和編碼標(biāo)準(zhǔn)。

Tim Hudson介紹道：“Coverity靜態(tài)應(yīng)用安全測試解決方案幫助Cryptsoft提前發(fā)現(xiàn)并修復(fù)漏洞。在客戶查詢發(fā)現(xiàn)的風(fēng)險是漏洞還是誤報時，也可以更快地獲得響應(yīng)。Coverity覆蓋范圍廣，是目前市場上最有效的靜態(tài)代碼分析工具之一。Coverity要檢測的代碼范圍越來越廣，但是誤報率仍然保持一致，在同類產(chǎn)品中脫穎而出?！?

Tim Hudson說：“如果沒有Coverity這類的工具，那么開發(fā)大型系統(tǒng)就像玩俄羅斯轉(zhuǎn)盤一樣，在賭運氣，這不是我們想要的。憑借Coverity，開發(fā)人員可以確保手動檢查過程中沒有遺漏，有助于我們做出明智的決定?！?

效果：掃描反饋快速、精準(zhǔn)，無縫集成

Cryptsoft想要將Coverity最新版本引入其構(gòu)建流程，而且希望操作相對簡單。

Tim Hudson贊賞道：“效果超出我們預(yù)期。我們將Coverity集成到構(gòu)建過程中，在收到軟件的同一天就可以對掃描結(jié)果進行分類。”

要與DevOps兼容，易于集成很關(guān)鍵。如果不能無縫集成到現(xiàn)有管道中可能會破壞開發(fā)活動。借助Coverity，Cryptsoft的工作可以不間斷，Coverity能在同一天啟動并運行。此外，Coverity可以為Cryptsoft提供快速、可靠的掃描結(jié)果。

Tim Hudson補充說：“開發(fā)人員能夠從持續(xù)集成環(huán)境中獲得即時反饋，意味著Coverity貫穿整個開發(fā)過程，而不是在開發(fā)周期結(jié)束時才使用。這使我們能夠確定和調(diào)整軟件開發(fā)期間可能存在的問題結(jié)構(gòu)，進一步減少了誤報。當(dāng)在難以測試的環(huán)境中檢測到潛在漏洞時，所有可能的代碼路徑中的靜態(tài)代碼分析帶來很大的好處，幫助我們?yōu)榭蛻艚桓陡鼜姶蟮能浖！?

憑借CoveritySAST，Cryptsoft的產(chǎn)品擁有可靠的安全性，表現(xiàn)出色，進一步鞏固了其領(lǐng)先的行業(yè)地位。