91吃瓜网

新思科技帮助础惫颈谤补软件公司在保持顿别惫翱辫蝉速度的同时提升开源安全

Synopsys Editorial Staff

Apr 06, 2021 / 1 min read

础惫颈谤补背景介绍

自1986年以来,Avira Operations GmbH&Co. KG提供安全、私密、性能出色的软件组合,在同类产物中脱颖而出。Avira是一家跨国计算机软件公司,开发用于台式机、移动设备和智能家居的产物,提供免费升级及高级版本。

 代码

挑战:保证顿别惫翱辫蝉速度,确保开源软件安全

开源软件已成为常态,在技术和非技术公司中都很常见。如今,开源已成为每个行业几乎所有应用程序的基础。尽管开源的普及和采用量激增,公司通常仍然无法有效地管理其安全性。

新思科技(厂测苍辞辫蝉测蝉)每年都会发布《开源安全性和风险分析报告》,洞悉开源安全性、合规性和代码质量风险的当前状态。2020年报告发现,在经过审核的1,253个应用中,有99%包含开源代码,而这些代码库中有75%包含漏洞。显然,这显示了开源代码的优势以及缺乏开源代码漏洞管理。

开源安全的需求日益增长。随着公司转向敏捷的顿别惫翱辫蝉开发周期,安全解决方案必须能够充分扩展并保持同步。

础惫颈谤补等公司想要提供行业领先的软件产物,就必须使用安全可靠的代码。因此,他们必须将强大的安全解决方案纳入其软件开发生命周期中,以便充分管理开源。

Avira信息安全官Marian Schneider指出,Avira DevOps流程中的关键挑战包括:产物复杂性不断增加、市场法规增加以及需要替代手动流程。这些挑战驱使Avira寻求一种跟上其DevOps需求并保持其规模的开源安全解决方案。

Marian Schneider表示:“从DevOps方面来看,开源安全变得越来越重要,Avira开始在市场上寻找集成到DevOps管道中的工具。”

安全代码

解决方案:新思科技应用安全测试工具

Avira采用了新思科技BlackDuck?软件组成分析(SCA)解决方案来帮助保护其开源资源,并确保安全措施不会减慢开发速度。 Black Duck是一种全面的SCA解决方案,用于管理在应用程序和容器中使用开源的安全性、许可证合规性和代码质量风险。

为了扩展DevOps渠道和产物套件,Avira大规模采用了Black Duck。所有开发团队在所有Avira产物中都部署Black Duck,并且经常进行扫描。Avira在每个主版本发布和/或构建中都启用Black Duck。

当被问及为何Avira选择Black Duck SCA时,Marian Schneider解释道:“摘要扫描(合规端)、安全信息以及从DevOps端集成到DevOps流程中。 Black Duck概念验证表明,它发现并显示了问题,提供Avira所需的信息。”

效果:简化安全工作,加强沟通

Marian Schneider表示:“安全是一种权利,而不是特权。所有客户都有获得安全软件的权利,而不是专属于某些人或者产物。”

在实施Black Duck之"前,Avira的开源风险是通过两种方式进行管理的:通过Confluence和Jira处理许可证,并使用基于文档化的第三方库自定义Python脚本处理通用漏洞披露(CVE)。这些脱节和孤立的流程无法扩展或与Avira的DevOps管道保持同步。Avira需要一个能够保持开发速度的综合解决方案。

Marian Schneider指出,部署Black Duck给Avira带来许多好处,其中非常重要的是在DevOps中增加了自动化流程和集成工具。

她说:“现在,开源的安全性和合规性已深深地嵌入到开发过程中,而不是由合规性团队进行管理。”

Marian Schneider发现Black Duck提供了更高的可扩展性,消除了对手动操作的需求,并且提升员工对开源代码安全重要性的整体意识。而且,Black Duck带来了意想不到的好处:“随着意识的增强,开发人员与法律部门之"间的交流增加了”。

凭借Black Duck SCA,Avira确保了开源安全,其产物拥有可靠的安全性,表现出色,进一步巩固了其领先的行业地位。

Continue Reading