新思科技Intelligent Orchestration解決方案提供自動安全測試工作流程

同期還推出技術(shù)聯(lián)盟合作伙伴計劃 為客戶增添價值

飛象網(wǎng)訊 經(jīng)過多年的發(fā)展，Intelligent Orchestration不斷完善，幫助負責 DevOps 交付和執(zhí)行的所有關(guān)鍵角色從中受益，包括DevOps工程師、開發(fā)人員及AppSec主管等。比如，Intelligent Orchestration通過對安全分析結(jié)果執(zhí)行標準化、篩選和優(yōu)先級排序，并在現(xiàn)有開發(fā)和缺陷跟蹤工具中直接提供這些結(jié)果，簡化漏洞修復工作。這使得開發(fā)人員在不中斷正常工作流的情況下提高解決安全缺陷的速度，并降低工作的復雜程度。

近日，新思科技(Synopsys)推出了Intelligent Orchestration解決方案——專門的應(yīng)用安全自動化管道，優(yōu)化速度和效率，可確保在正確的時間執(zhí)行適當?shù)陌踩珳y試。在2021年RSA信息安全大會上，新思科技宣布擴展其軟件質(zhì)量與安全部門的全球合作伙伴計劃，啟動技術(shù)聯(lián)盟合作伙伴 (TAP) 計劃，并展示了全新Intelligent Orchestration解決方案與技術(shù)合作伙伴工具（包括CloudBees 和GitHub Actions）之間的集成。

通過TAP計劃，開發(fā)、DevOps和安全技術(shù)提供商可以與新思科技合作，將新思科技的安全和風險管理解決方案與其產(chǎn)品集成。這些集成使企業(yè)更便捷地在現(xiàn)有的DevOps工具鏈中構(gòu)建自動化的應(yīng)用安全控制。

Intelligent Orchestration具備以下功能和優(yōu)點：

·專用的“持續(xù)安全”管道

Intelligent Orchestration是專用的持續(xù)集成(CI)管道，可并行運行以構(gòu)建和發(fā)布管道，執(zhí)行必要的應(yīng)用安全性測試。

·與現(xiàn)有管道和開發(fā)工具鏈無縫集成

Intelligent Orchestration不需要重新構(gòu)建和發(fā)布管道。相反，它可以通過簡單的API調(diào)用輕松地與CI管道集成。此外，可擴展的DevOps集成使團隊能夠整合新思科技的工具以及開源和第三方工具執(zhí)行的應(yīng)用安全測試，并通過現(xiàn)有的開發(fā)、風險管理和問題跟蹤工具交付結(jié)果。

·確保在正確的時間運行適當?shù)臏y試

團隊可以將其應(yīng)用安全策略定義為代碼，指定用于安全分析、通知和修復的規(guī)則。然后，憑借創(chuàng)新技術(shù)，Intelligent Orchestration使用該策略來評估代碼更改和其它軟件開發(fā)生命周期(SDLC)事件，以智能方式觸發(fā)適當?shù)陌踩珳y試，通過僅在需要時執(zhí)行所需的測試以將速度最大化。

·向正確的團隊提供適用的信息

Intelligent Orchestration在整個安全測試工具范圍內(nèi)優(yōu)化和標準化了應(yīng)用安全報告。結(jié)果將根據(jù)風險自動過濾并確定優(yōu)先級，并直接在開發(fā)團隊已經(jīng)使用的開發(fā)和缺陷跟蹤工具中交付，從而防止“漏洞超載”。

·將手動或帶外測試活動的工作流程自動化

Intelligent Orchestration策略還可以通過缺陷跟蹤系統(tǒng)和通信渠道觸發(fā)手動安全活動，例如滲透測試，從而使安全團隊能夠協(xié)調(diào)安全合規(guī)性與開發(fā)工作流程。

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示：“每個擁抱DevOps的企業(yè)在將安全測試集成到其DevOps環(huán)境中，進行自動化時都會遇到些磨擦。在試圖跟上不斷加快的開發(fā)速度的同時，自動化整個產(chǎn)品組合中應(yīng)用安全策略的實施并管理大量的安全測試結(jié)果是一項艱巨的任務(wù)。這正是Intelligent Orchestration能解決的問題。通過策略驅(qū)動的情報、自動化和廣泛的集成，Intelligent Orchestration可以基于風險和持續(xù)迭代來簡化安全測試程序。”

與CloudBees 和GitHub集成的Intelligent Orchestration解決方案突顯了TAP計劃為客戶創(chuàng)造的價值。

GitHub業(yè)務(wù)拓展經(jīng)理 Jose Palafox表示：“GitHub Actions幫助客戶利用自動化將軟件開發(fā)工作從構(gòu)想快速推進到生產(chǎn)流程。安全測試在此過程中越來越重要，但需要無縫進行。通過‘智能安全掃描操作’，開發(fā)人員可以利用Intelligent Orchestration的功能以自動、快速地啟動安全掃描�！�

CloudBees策略副總裁 Anders Wallgren表示：“我們看到越來越多的客戶希望將應(yīng)用安全活動自動化，作為其CI/CD管道的一部分。但是，隨著安全測試技術(shù)發(fā)展步伐的加快和數(shù)量激增，他們可能很難在不減緩生產(chǎn)速度的情況下管理不斷涌現(xiàn)的漏洞。通過我們與新思科技的戰(zhàn)略合作伙伴關(guān)系以及CloudBees和Intelligent Orchestration的集成，客戶可以利用自動化和基于風險的智能應(yīng)用在管道的適當階段運行正確的測試，從而可以大大減少不必要的摩擦。”