同期還推出技術(shù)聯(lián)盟合作伙伴計(jì)劃 為客戶增添價(jià)值
飛象網(wǎng)訊 經(jīng)過(guò)多年的發(fā)展,Intelligent Orchestration不斷完善,幫助負(fù)責(zé) DevOps 交付和執(zhí)行的所有關(guān)鍵角色從中受益,包括DevOps工程師、開(kāi)發(fā)人員及AppSec主管等。比如,Intelligent Orchestration通過(guò)對(duì)安全分析結(jié)果執(zhí)行標(biāo)準(zhǔn)化、篩選和優(yōu)先級(jí)排序,并在現(xiàn)有開(kāi)發(fā)和缺陷跟蹤工具中直接提供這些結(jié)果,簡(jiǎn)化漏洞修復(fù)工作。這使得開(kāi)發(fā)人員在不中斷正常工作流的情況下提高解決安全缺陷的速度,并降低工作的復(fù)雜程度。
近日,新思科技(Synopsys)推出了Intelligent Orchestration解決方案——專門(mén)的應(yīng)用安全自動(dòng)化管道,優(yōu)化速度和效率,可確保在正確的時(shí)間執(zhí)行適當(dāng)?shù)陌踩珳y(cè)試。在2021年RSA信息安全大會(huì)上,新思科技宣布擴(kuò)展其軟件質(zhì)量與安全部門(mén)的全球合作伙伴計(jì)劃,啟動(dòng)技術(shù)聯(lián)盟合作伙伴 (TAP) 計(jì)劃,并展示了全新Intelligent Orchestration解決方案與技術(shù)合作伙伴工具(包括CloudBees 和GitHub Actions)之間的集成。
通過(guò)TAP計(jì)劃,開(kāi)發(fā)、DevOps和安全技術(shù)提供商可以與新思科技合作,將新思科技的安全和風(fēng)險(xiǎn)管理解決方案與其產(chǎn)品集成。這些集成使企業(yè)更便捷地在現(xiàn)有的DevOps工具鏈中構(gòu)建自動(dòng)化的應(yīng)用安全控制。
Intelligent Orchestration具備以下功能和優(yōu)點(diǎn):
·專用的“持續(xù)安全”管道
Intelligent Orchestration是專用的持續(xù)集成(CI)管道,可并行運(yùn)行以構(gòu)建和發(fā)布管道,執(zhí)行必要的應(yīng)用安全性測(cè)試。
·與現(xiàn)有管道和開(kāi)發(fā)工具鏈無(wú)縫集成
Intelligent Orchestration不需要重新構(gòu)建和發(fā)布管道。相反,它可以通過(guò)簡(jiǎn)單的API調(diào)用輕松地與CI管道集成。此外,可擴(kuò)展的DevOps集成使團(tuán)隊(duì)能夠整合新思科技的工具以及開(kāi)源和第三方工具執(zhí)行的應(yīng)用安全測(cè)試,并通過(guò)現(xiàn)有的開(kāi)發(fā)、風(fēng)險(xiǎn)管理和問(wèn)題跟蹤工具交付結(jié)果。
·確保在正確的時(shí)間運(yùn)行適當(dāng)?shù)臏y(cè)試
團(tuán)隊(duì)可以將其應(yīng)用安全策略定義為代碼,指定用于安全分析、通知和修復(fù)的規(guī)則。然后,憑借創(chuàng)新技術(shù),Intelligent Orchestration使用該策略來(lái)評(píng)估代碼更改和其它軟件開(kāi)發(fā)生命周期(SDLC)事件,以智能方式觸發(fā)適當(dāng)?shù)陌踩珳y(cè)試,通過(guò)僅在需要時(shí)執(zhí)行所需的測(cè)試以將速度最大化。
·向正確的團(tuán)隊(duì)提供適用的信息
Intelligent Orchestration在整個(gè)安全測(cè)試工具范圍內(nèi)優(yōu)化和標(biāo)準(zhǔn)化了應(yīng)用安全報(bào)告。結(jié)果將根據(jù)風(fēng)險(xiǎn)自動(dòng)過(guò)濾并確定優(yōu)先級(jí),并直接在開(kāi)發(fā)團(tuán)隊(duì)已經(jīng)使用的開(kāi)發(fā)和缺陷跟蹤工具中交付,從而防止“漏洞超載”。
·將手動(dòng)或帶外測(cè)試活動(dòng)的工作流程自動(dòng)化
Intelligent Orchestration策略還可以通過(guò)缺陷跟蹤系統(tǒng)和通信渠道觸發(fā)手動(dòng)安全活動(dòng),例如滲透測(cè)試,從而使安全團(tuán)隊(duì)能夠協(xié)調(diào)安全合規(guī)性與開(kāi)發(fā)工作流程。
新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Jason Schmitt表示:“每個(gè)擁抱DevOps的企業(yè)在將安全測(cè)試集成到其DevOps環(huán)境中,進(jìn)行自動(dòng)化時(shí)都會(huì)遇到些磨擦。在試圖跟上不斷加快的開(kāi)發(fā)速度的同時(shí),自動(dòng)化整個(gè)產(chǎn)品組合中應(yīng)用安全策略的實(shí)施并管理大量的安全測(cè)試結(jié)果是一項(xiàng)艱巨的任務(wù)。這正是Intelligent Orchestration能解決的問(wèn)題。通過(guò)策略驅(qū)動(dòng)的情報(bào)、自動(dòng)化和廣泛的集成,Intelligent Orchestration可以基于風(fēng)險(xiǎn)和持續(xù)迭代來(lái)簡(jiǎn)化安全測(cè)試程序。”
與CloudBees 和GitHub集成的Intelligent Orchestration解決方案突顯了TAP計(jì)劃為客戶創(chuàng)造的價(jià)值。
GitHub業(yè)務(wù)拓展經(jīng)理 Jose Palafox表示:“GitHub Actions幫助客戶利用自動(dòng)化將軟件開(kāi)發(fā)工作從構(gòu)想快速推進(jìn)到生產(chǎn)流程。安全測(cè)試在此過(guò)程中越來(lái)越重要,但需要無(wú)縫進(jìn)行。通過(guò)‘智能安全掃描操作’,開(kāi)發(fā)人員可以利用Intelligent Orchestration的功能以自動(dòng)、快速地啟動(dòng)安全掃描!
CloudBees策略副總裁 Anders Wallgren表示:“我們看到越來(lái)越多的客戶希望將應(yīng)用安全活動(dòng)自動(dòng)化,作為其CI/CD管道的一部分。但是,隨著安全測(cè)試技術(shù)發(fā)展步伐的加快和數(shù)量激增,他們可能很難在不減緩生產(chǎn)速度的情況下管理不斷涌現(xiàn)的漏洞。通過(guò)我們與新思科技的戰(zhàn)略合作伙伴關(guān)系以及CloudBees和Intelligent Orchestration的集成,客戶可以利用自動(dòng)化和基于風(fēng)險(xiǎn)的智能應(yīng)用在管道的適當(dāng)階段運(yùn)行正確的測(cè)試,從而可以大大減少不必要的摩擦!