| 编码 | 构建 | 测试 | 操作 |
|---|---|---|---|
| 开始进行软件开发,包括在 IDE 中设计系统、编写代码并检查错误。 | 在构建阶段,团队根据在计划阶段记录的需求来构建软件。 | 测试团队对软件进行评估,以确定其是否满足必要的需求。 | 在生产环境中部署和监控软件。 |
|
|
|||
|
|
|
|
|
|
|
|
||
|
|
|||
以您业务所需的速度保护软件
软件开发速度比以往任何时候都快,而且自动化程度更高。为了跟上并适应快速变化的业务需求,您需要将安全构建到 DevOps 中。Black Duck DevSecOps 解决方案可帮助您实现“安全左移”,而不会减慢开发团队的速度。
对于开发人员
提高工作效率
在代码编写期间尽快保障代码安全,避免可能威胁到项目交付期限的昂贵返工。在 IDE 和其他熟悉的工具(例如 Jira)中加入软件风险洞察、修补指南和安全编码教育,让开发人员触手可及。
对于 DevSecOps 团队
保持速度
在软件开发生命周期 (SDLC) 和 CI 管道的每个阶段,通过集成的应用安全测试和风险报告来查找和修补问题。建立安全门禁以支持风险承受阈值,最大限度地减少下游问题,并降低修补成本。
对于企业
最大化敏捷
使用可扩展的服务化安全测试平台,将原本作为成本中心的应用安全转变为业务驱动因素。通过消除前期资本支出和基础设施维护负担,缩短 AppSec 投资的价值实现时间并降低总体拥有成本。
借助 Black Duck 在 DevOps 中智能地构建安全
简化和扩展 DevOps 的应用安全测试
随时随地自动执行任何扫描
Black Duck Polaris Platform® 是一款基于云的集成应用安全测试解决方案,并且针对 DevSecOps 需求进行了优化。轻松引导开发人员,只需几分钟即可开始扫描代码,同时让您的安全团队能够跟踪和管理数千个应用程序的 AppSec 测试活动和风险。
同时测试功能和安全
优化 DevOps 自动化的运行时安全测试
交互式应用安全测试 (IAST) 可以通过监控后台 Web 应用程序的交互,将功能测试转变为安全测试。Seeker® 自动验证功能可以帮助您的组织识别运行时出现的真实风险。Seeker 在几秒钟内返回结果,误报率接近零,无需运行手动安全扫描,从而避免了减慢生产速度和带给开发人员负担。
在编写代码期间尽快保障代码安全
在编码期间实时解决安全缺陷
Code Sight™ 提供基于 IDE 的快速测试,因此您的开发人员可以在向下游推送软件之前,编写更安全的代码并修补易受攻击的组件。开发人员无需离开 IDE,即可快速准确地检测安全缺陷并查看详细的修补指南。在不妨碍工作流的情况下,最大限度地缩短修补时间并提高开发人员安全标准。
培养具有安全能力的开发人员,加快修补速度并支持合规
提供敏捷学习以促进安全开发
由 Secure Code Warrior 提供支持的 Black Duck 开发人员安全培训建立了一个闭环策略,以防止开发人员桌面上出现安全问题,并加快修补在安全测试期间发现的问题。交互式微迸发的学习形式使得开发人员可以在他们所在的工作上下文中快速学习、测试和应用知识。
为 DevSecOps 集成并自动化安全测试
加快风险检测,建立安全门禁
Black Duck 应用安全测试方案集成了 SDLC 和 CI/CD 管道,以确保及时检测风险并快速修补。自动持续检查已知漏洞、源代码漏洞和软件供应链风险。将开箱即用的插件和扩展程序用于热门的 DevOps 工具,如 GitHub、GitLab、Azure DevOps 等,并通过强大的 CLI 提供全面 CI 支持。
DevSecOps 并不全是关于工具
DevSecOps 不仅仅涉及您使用的工具,还涉及人员、流程和规划。无论您处于 DevSecOps 旅程的哪个阶段,Black Duck 都能帮助您规划通往成功 DevSecOps 计划的道路,为当今组织中的跨功能过程提供支持。
常见问题
如何在不给现有流程带来额外开销和摩擦的情况下扩展安全扫描?
Polaris 软件完整性平台基于云计算,经过优化后可最大限度降低 DevSecOps 的成本。无需部署硬件或更新软件,也无需限制团队规模或扫描频率。在整个组织中快速载入用户和应用程序,同时利用弹性容量以及在不同项目和扫描类型之间开展的并行扫描。
我可以使用 Black Duck 自动执行哪些安全测试?
Black Duck 拥有用于静态应用安全测试 (SAST)、软件组成分析 (SCA)、交互式应用安全测试 (IAST) 和动态应用安全测试 (DAST) 的自动化解决方案。这些解决方案可以在 CI/CD 管道中集成和自动化,并根据预定义的策略和工作流触发器进行配置。Polaris 软件完整性平台可根据应用程序、项目、时间表或 SDLC 事件,在管道的最佳阶段灵活运行最合适的分析引擎。
哪里最适合把安全集成到 CI/CD 管道中?
实施“无处不移”方法可以在整个软件开发生命周期 (SDLC) 和 CI/CD 管道中构建安全性。为此,您可以在 IDE 中直接向开发人员提供代码质量和安全风险洞察,在构建时以及在代码库和注册表中开展静态分析和软件组成分析,并在预发布和测试环境中执行动态的预生产分析,以验证运行时可能出现的真实风险。
如何在不减慢开发或 DevOps 速度的情况下建立安全门禁?
Black Duck 应用程序安全测试解决方案集成了 DevOps 工作流程和 CI/CD 管道。根据策略触发扫描事件,自动进行优先级排序和分类,并加速修补,以实现更加有效和高效的 DevSecOps,从而消除漏洞积压。为了实现基于云的安全即服务,Polaris 软件完整性平台可以轻松连接到 SCM 和 CI 工具,以对自有代码、开源和第三方依赖项执行计划或触发的扫描。
如何让开发人员从 IDE 运行漏洞扫描?
Code Sight 将源代码和开源组件的安全测试直接集成到开发人员的 IDE 中,这样他们就可以在不切换工具或中断工作流的情况下找到并修补安全缺陷。借助 Code Sight,开发人员可以在软件包和代码行级别查看详细的修补建议,消除修补措施中的疑虑,从而提高开发人员的安全技能。
如何去除来自多种应用程序安全测试工具中发现的重复结果?
鉴于安全计划随着时间推移而演进,DevSecOps 计划可能会发现,多款工具在同一应用程序中检测到相同的风险。这可能浪费时间和金钱,并产生相互矛盾的结果。软件风险管理器可关联并去除重复的结果,因此您的团队可以首先专注于解决项目中最重要的风险,而不会浪费精力去评审那些噪声。
如何合并来自多款应用程序安全测试工具的测试结果?
软件风险管理器为所有应用程序漏洞建立记录系统,无论识别这些漏洞的测试工具或安全供应商如何。这使得根据特定标准定位关键漏洞并集中查看风险状况成为可能。它能够评估您 AppSec 计划的有效性。
DevSecOps 计划的最佳编制方式是什么?
在编制 DevSecOps 计划时应采取的关键步骤包括预先定义安全测试策略,以便自动执行关键安全步骤;建立 SDLC 和 CI/CD 管道各阶段各类型测试的智能编排;在 IDE 中添加安全测试和修补,以便开发人员在编写代码时能够找到并修补问题;配置、关联并管理风险数据,以实现有效的风险优先排序和修补。