新思科技軟件組成分析解決方案幫助企業(yè)保護(hù)開(kāi)源資源
在當(dāng)今軟件開(kāi)發(fā)中,幾乎離不開(kāi)開(kāi)源組件。軟件公司也在尋求有效的解決方案,以方便團(tuán)隊(duì)管理在應(yīng)用和容器中使用開(kāi)源和第三方代碼所帶來(lái)的安全、質(zhì)量和許可證合規(guī)性風(fēng)險(xiǎn)。多年來(lái),許多公司一直采用Black Duck? 軟件組件分析 (SCA),將開(kāi)源治理集成至 DevSecOps 并實(shí)現(xiàn)自動(dòng)化, 預(yù)防并管理開(kāi)源風(fēng)險(xiǎn)。Avira軟件公司是其中一家。
本文引用地址:http://m.butianyuan.cn/article/202103/423697.htmAvira背景介紹
自1986年以來(lái),Avira Operations GmbH&Co. KG提供安全、私密、性能出色的軟件組合,在同類(lèi)產(chǎn)品中脫穎而出。Avira是一家跨國(guó)計(jì)算機(jī)軟件公司,開(kāi)發(fā)用于臺(tái)式機(jī)、移動(dòng)設(shè)備和智能家居的產(chǎn)品,提供免費(fèi)升級(jí)及高級(jí)版本。
挑戰(zhàn):保證DevOps速度,確保開(kāi)源軟件安全
開(kāi)源軟件已成為常態(tài),在技術(shù)和非技術(shù)公司中都很常見(jiàn)。如今,開(kāi)源已成為每個(gè)行業(yè)幾乎所有應(yīng)用程序的基礎(chǔ)。盡管開(kāi)源的普及和采用量激增,企業(yè)通常仍然無(wú)法有效地管理其安全性。
新思科技(Synopsys)每年都會(huì)發(fā)布《開(kāi)源安全性和風(fēng)險(xiǎn)分析報(bào)告》,洞悉開(kāi)源安全性、合規(guī)性和代碼質(zhì)量風(fēng)險(xiǎn)的當(dāng)前狀態(tài)。2020年報(bào)告發(fā)現(xiàn),在經(jīng)過(guò)審核的1,253個(gè)應(yīng)用中,有99%包含開(kāi)源代碼,而這些代碼庫(kù)中有75%包含漏洞。顯然,這顯示了開(kāi)源代碼的優(yōu)勢(shì)以及缺乏開(kāi)源代碼漏洞管理。
開(kāi)源安全的需求日益增長(zhǎng)。隨著企業(yè)轉(zhuǎn)向敏捷的DevOps開(kāi)發(fā)周期,安全解決方案必須能夠充分?jǐn)U展并保持同步。
Avira等企業(yè)想要提供行業(yè)領(lǐng)先的軟件產(chǎn)品,就必須使用安全可靠的代碼。因此,他們必須將強(qiáng)大的安全解決方案納入其軟件開(kāi)發(fā)生命周期中,以便充分管理開(kāi)源。
Avira信息安全官M(fèi)arian Schneider指出,Avira DevOps流程中的關(guān)鍵挑戰(zhàn)包括:產(chǎn)品復(fù)雜性不斷增加、市場(chǎng)法規(guī)增加以及需要替代手動(dòng)流程。這些挑戰(zhàn)驅(qū)使Avira尋求一種跟上其DevOps需求并保持其規(guī)模的開(kāi)源安全解決方案。
Marian Schneider表示:“從DevOps方面來(lái)看,開(kāi)源安全變得越來(lái)越重要,Avira開(kāi)始在市場(chǎng)上尋找集成到DevOps管道中的工具?!?/p>
解決方案:新思科技應(yīng)用安全測(cè)試工具
Avira采用了新思科技BlackDuck?軟件組成分析(SCA)解決方案來(lái)幫助保護(hù)其開(kāi)源資源,并確保安全措施不會(huì)減慢開(kāi)發(fā)速度。 Black Duck是一種全面的SCA解決方案,用于管理在應(yīng)用程序和容器中使用開(kāi)源的安全性、許可證合規(guī)性和代碼質(zhì)量風(fēng)險(xiǎn)。
為了擴(kuò)展DevOps渠道和產(chǎn)品套件,Avira大規(guī)模采用了Black Duck。所有開(kāi)發(fā)團(tuán)隊(duì)在所有Avira產(chǎn)品中都部署B(yǎng)lack Duck,并且經(jīng)常進(jìn)行掃描。Avira在每個(gè)主版本發(fā)布和/或構(gòu)建中都啟用Black Duck。
當(dāng)被問(wèn)及為何Avira選擇Black Duck SCA時(shí),Marian Schneider解釋道:“摘要掃描(合規(guī)端)、安全信息以及從DevOps端集成到DevOps流程中。 Black Duck概念驗(yàn)證表明,它發(fā)現(xiàn)并顯示了問(wèn)題,提供Avira所需的信息?!?/p>
效果:簡(jiǎn)化安全工作,加強(qiáng)溝通
Marian Schneider表示:“安全是一種權(quán)利,而不是特權(quán)。所有客戶(hù)都有獲得安全軟件的權(quán)利,而不是專(zhuān)屬于某些人或者產(chǎn)品?!?/p>
在實(shí)施Black Duck之前,Avira的開(kāi)源風(fēng)險(xiǎn)是通過(guò)兩種方式進(jìn)行管理的:通過(guò)Confluence和Jira處理許可證,并使用基于文檔化的第三方庫(kù)自定義Python腳本處理通用漏洞披露(CVE)。這些脫節(jié)和孤立的流程無(wú)法擴(kuò)展或與Avira的DevOps管道保持同步。Avira需要一個(gè)能夠保持開(kāi)發(fā)速度的綜合解決方案。
Marian Schneider指出,部署B(yǎng)lack Duck給Avira帶來(lái)許多好處,其中最重要的是在DevOps中增加了自動(dòng)化流程和集成工具。
她說(shuō):“現(xiàn)在,開(kāi)源的安全性和合規(guī)性已深深地嵌入到開(kāi)發(fā)過(guò)程中,而不是由合規(guī)性團(tuán)隊(duì)進(jìn)行管理?!?/p>
Marian Schneider發(fā)現(xiàn)Black Duck提供了更高的可擴(kuò)展性,消除了對(duì)手動(dòng)操作的需求,并且提升員工對(duì)開(kāi)源代碼安全重要性的整體意識(shí)。而且,Black Duck帶來(lái)了意想不到的好處:“隨著意識(shí)的增強(qiáng),開(kāi)發(fā)人員與法律部門(mén)之間的交流增加了”。
憑借Black Duck SCA,Avira確保了開(kāi)源安全,其產(chǎn)品擁有可靠的安全性,表現(xiàn)出色,進(jìn)一步鞏固了其領(lǐng)先的行業(yè)地位。
評(píng)論