Synopsys被評(píng)為“ 2021年第一季度靜態(tài)應(yīng)用程序安全性測(cè)試”的領(lǐng)導(dǎo)者。

Forrester Wave?發(fā)布的報(bào)告。

在12個(gè)經(jīng)過(guò)評(píng)估的供應(yīng)商中，Synopsys的Coverity靜態(tài)分析解決方案在“現(xiàn)有產(chǎn)品”類別中得分最高，并在“策略”類別中排名前三。

多年來(lái)，世界各地的許多公司都采用Coverity來(lái)降低安全風(fēng)險(xiǎn)，確保應(yīng)用程序靈活性并迅速向市場(chǎng)提供新功能。

加密軟件就是其中之一。

Cryptsoft背景介紹澳大利亞安全公司Cryptsoft提供用于安全系統(tǒng)設(shè)計(jì)，部署，驗(yàn)證和互操作性的軟件開發(fā)工具。

它的產(chǎn)品包括OASIS密鑰管理互操作性協(xié)議（KMIP），OASIS公鑰密碼標(biāo)準(zhǔn)11＃（PKCS＃11）和智能卡解決方案。

挑戰(zhàn)：以DevOps的速度進(jìn)行掃描，提高和提高安全性隨著公司將其開發(fā)實(shí)踐迅速發(fā)展為精簡(jiǎn)而敏捷的DevOps方法，能夠適應(yīng)并保持開發(fā)速度和復(fù)雜性的工具至關(guān)重要。

具體而言，必須將這些工具無(wú)縫地集成到現(xiàn)有管道中，而不會(huì)“破壞構(gòu)建”。

或減慢發(fā)展速度。

Cryptsoft的軟件產(chǎn)品在行業(yè)中廣受好評(píng)，可提供準(zhǔn)確而有效的安全掃描。

因此，任何集成到其軟件開發(fā)生命周期（SDLC）管道中的安全解決方案都必須能夠充分保持開發(fā)速度。

Cryptsoft的創(chuàng)始人兼首席技術(shù)官Tim Hudson表示：“ Cryptsoft的客戶有很多知名的技術(shù)公司，他們的綜合期望很高。

Cryptsoft提供了用于密鑰管理系統(tǒng)和硬件安全模塊的軟件。

我們必須使用所有可能的工具。

以提高代碼質(zhì)量，安全性和穩(wěn)定性”。

這種需求與巨大的利益有關(guān)，并且開發(fā)速度需要不斷提高。

因此，Cryptsoft尋求可維持和擴(kuò)展其DevOps要求的靜態(tài)應(yīng)用程序安全測(cè)試（SAST）解決方案。

蒂姆·哈德森（Tim Hudson）表示，客戶將間歇性地掃描產(chǎn)品，而Cryptsoft需要他們首先發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。

為了滿足此要求，必須使用功能強(qiáng)大的SAST工具，以便在不減慢CI（連續(xù)集成）過(guò)程的情況下更快地發(fā)現(xiàn)漏洞。

解決方案：Synopsys應(yīng)用程序安全測(cè)試工具Cryptsoft采用Synopsys。

Coverity＆amp; reg; SAST解??決方案可提高開發(fā)速度以及軟件質(zhì)量和安全性。

Coverity是一種快速，準(zhǔn)確和高度可擴(kuò)展的靜態(tài)分析解決方案，可以幫助開發(fā)和安全團(tuán)隊(duì)在SDLC的早期階段解決安全和質(zhì)量缺陷，跟蹤和管理整個(gè)應(yīng)用程序組合中的風(fēng)險(xiǎn)，并確保符合安全和編碼標(biāo)準(zhǔn)。

蒂姆·哈德森（Tim Hudson）表示：“ Coverity靜態(tài)應(yīng)用程序安全測(cè)試解決方案可幫助Cryptsoft提前發(fā)現(xiàn)并修復(fù)漏洞。

當(dāng)客戶查詢風(fēng)險(xiǎn)是漏洞還是錯(cuò)誤警報(bào)時(shí)，他們也可以更快地做出響應(yīng)。

Coverity具有廣泛的覆蓋范圍，目前正在市場(chǎng)上。

最有效的靜態(tài)代碼分析工具之一。

Coverity希望檢測(cè)更大范圍的代碼，但誤報(bào)率保持不變，在同類產(chǎn)品中獨(dú)樹一幟”。

蒂姆·哈德森（Tim Hudson）表示：“如果沒(méi)有像Coverity這樣的工具，那么開發(fā)大型系統(tǒng)就像在玩俄羅斯轉(zhuǎn)盤。

我們押注運(yùn)氣，這不是我們想要的。

借助Coverity，開發(fā)人員可以確保手動(dòng)檢查過(guò)程中沒(méi)有遺漏，這有助于我們做出明智的決定。

效果：掃描反饋快速，準(zhǔn)確，無(wú)縫地集成。

Cryptsoft希望將最新版本的Coverity引入其構(gòu)建過(guò)程，并希望該操作相對(duì)簡(jiǎn)單。

蒂姆·哈德森（Tim Hudson）贊揚(yáng)說(shuō)：“效果超出了我們的預(yù)期。

我們將Coverity集成到構(gòu)建過(guò)程中，可以在收到軟件的同一天對(duì)掃描結(jié)果進(jìn)行分類。

與DevOps的兼容性以及易于集成至關(guān)重要。

無(wú)法無(wú)縫集成到現(xiàn)有管道中可能會(huì)破壞開發(fā)活動(dòng)。

使用Coverity，Cryptsoft的工作可以不中斷，并且Coverity可以在同一天啟動(dòng)并運(yùn)行。

此外，Coverity可以為Cryptsoft提供快速而可靠的掃描結(jié)果。

蒂姆·哈德森（Tim Hudson）補(bǔ)充說(shuō)：“開發(fā)人員可以從持續(xù)集成環(huán)境中獲得即時(shí)反饋，這意味著Coverity在整個(gè)開發(fā)過(guò)程中都會(huì)使用，而不是在開發(fā)周期結(jié)束時(shí)使用。

這使我們能夠識(shí)別和調(diào)整軟件開發(fā)過(guò)程中可能出現(xiàn)的問(wèn)題。

該結(jié)構(gòu)進(jìn)一步減少了誤報(bào)。

當(dāng)檢測(cè)到潛在漏洞時(shí)，