新思科技發(fā)布新的Polaris功能 開(kāi)發(fā)人員可以主動(dòng)查找并修復(fù)第三方和自定義組件中的安全風(fēng)險(xiǎn)

飛象網(wǎng)訊 應(yīng)用安全性不應(yīng)降低開(kāi)發(fā)速度。因此，盡早找到并修復(fù)安全缺陷對(duì)開(kāi)發(fā)人員來(lái)說(shuō)至關(guān)重要。

新思科技Polaris 通過(guò)在開(kāi)發(fā)和構(gòu)建/測(cè)試環(huán)境中使用相同的強(qiáng)大安全分析引擎，確保整個(gè)開(kāi)發(fā)過(guò)程中獲得一致的結(jié)果。新思科技近期發(fā)布Polaris重大更新，通過(guò)在IDE中同時(shí)提供實(shí)時(shí)的SAST和SCA結(jié)果，開(kāi)發(fā)人員可以實(shí)時(shí)解決問(wèn)題，使其能夠更快地構(gòu)建安全、優(yōu)質(zhì)的軟件。

新思科技（Synopsys, Inc.，Nasdaq: SNPS）于2月18日發(fā)布Polaris軟件完整性平臺(tái)的重大更新，通過(guò)Code Sight IDE 插件的本機(jī)集成將其靜態(tài)應(yīng)用安全測(cè)試（SAST）和軟件組成分析（SCA）的功能擴(kuò)展到開(kāi)發(fā)人員的桌面。這些功能在同類解決方案中是史無(wú)前例的，將使開(kāi)發(fā)人員能夠主動(dòng)查找并修復(fù)專有代碼中的安全缺陷以及開(kāi)源代碼依賴項(xiàng)中的已知漏洞，而無(wú)需離開(kāi)他們的交互式開(kāi)發(fā)環(huán)境（IDE）。

新思科技軟件質(zhì)量與安全部門(mén)解決方案副總裁Simon King表示：“在現(xiàn)代開(kāi)發(fā)環(huán)境中，安全測(cè)試需要無(wú)縫集成到開(kāi)發(fā)人員的工作流程中，但同時(shí)還需要覆蓋專有代碼和第三方代碼。通過(guò)在IDE中同時(shí)提供實(shí)時(shí)的SAST和SCA結(jié)果，新思科技可以使開(kāi)發(fā)人員能夠在構(gòu)建自己的應(yīng)用程序時(shí)檢測(cè)在其自身代碼以及所利用的開(kāi)源組件中的安全缺陷。開(kāi)發(fā)人員可以實(shí)時(shí)解決問(wèn)題，避免因問(wèn)題未被發(fā)現(xiàn)而開(kāi)發(fā)人員繼續(xù)執(zhí)行其他任務(wù)之后的數(shù)天、數(shù)周甚至數(shù)月產(chǎn)生的風(fēng)險(xiǎn)和生產(chǎn)的損失。隨著新功能的發(fā)布，Code Sight IDE插件的本機(jī)集成使開(kāi)發(fā)人員能夠更快地構(gòu)建安全、高質(zhì)量的軟件�！�

關(guān)于Code Sight IDE插件的更多信息：

·         在2019年首次推出Code Sight SAST功能的基礎(chǔ)上，新的版本引入了可以分析已聲明和可傳遞開(kāi)源依賴項(xiàng)的功能，并在IDE中的SAST發(fā)現(xiàn)中標(biāo)記已知安全問(wèn)題的組件。

·         使用新的SCA功能，開(kāi)發(fā)人員可以在不離開(kāi)IDE的情況下查看已標(biāo)記組件的已知漏洞，以驗(yàn)證風(fēng)險(xiǎn)并確定修復(fù)選項(xiàng)。

·         Code Sight插件提供來(lái)自新思科技獨(dú)立研究的黑鴨安全公告（BDSCAs）的漏洞信息以及來(lái)自國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）的公共CVE記錄。

·         BDSAs為開(kāi)發(fā)人員提供了比NVD更及時(shí)、準(zhǔn)確以及徹底的風(fēng)險(xiǎn)和補(bǔ)救信息，幫助他們比用其他解決方法更快地查找和修復(fù)漏洞。

·         Code Sight通過(guò)提供詳細(xì)的修補(bǔ)指南，引導(dǎo)開(kāi)發(fā)人員到更安全的組件版本，來(lái)幫助開(kāi)發(fā)人員快速識(shí)別并選擇最佳的漏洞修復(fù)方法。之后開(kāi)發(fā)人員可以立即實(shí)施修補(bǔ)程序，而無(wú)需中斷工作流程或離開(kāi)IDE。

·         除了漏洞信息之外，Code Sight插件還提供開(kāi)發(fā)人員可以用來(lái)優(yōu)化組件選擇的其他信息，包括開(kāi)源許可證風(fēng)險(xiǎn)以及可能違反組織預(yù)定義的開(kāi)源策略的安全性和許可證合規(guī)性。