A fejlesztőktől biztonságot kérni önmagában kockázatot jelent

Ahogy a szoftverfejlesztés üteme és összetettsége növekszik, a szervezetek olyan módszereket keresnek, amelyekkel javíthatják alkalmazásaik biztonsági tesztelésének teljesítményét és hatékonyságát, ideértve a „balra váltást” a biztonsági tesztelésnek a fejlesztői eszközökbe és munkafolyamatokba való közvetlen integrálásával. Ez logikus, mert a hibákat, beleértve a biztonsági hibákat is, gyakran gyorsabban és költséghatékonyabban lehet kijavítani, ha időben észlelik. A későbbi tesztelés vagy a gyártás során feltárt problémák költséges és zavaró utómunkálatokhoz vezetnek.

A szervezetek megértették, hogy a hibák kijavításának költsége exponenciálisan növekszik, ahogy egy alkalmazás tovább halad a termelésben. A megelőzési költségek a legolcsóbbak, míg a javítás költsége 10-szer, az alkalmazási hiba pedig 100-szor magasabb.

Fontos lépés tehát, hogy megkérjük a fejlesztőket, hogy kerüljék el a hibákat, de a legtöbb fejlesztő nem biztonsági szakértő, és a fejlesztők igényeire optimalizált eszközök. biztonsági csapat túl bonyolult és zavaró lehet ahhoz, hogy a fejlesztők elfogadják. Tovább rontja a helyzetet, hogy ezek a megoldások gyakran megkövetelik a fejlesztőktől, hogy elhagyják integrált fejlesztői környezetüket (IDE) a problémák elemzéséhez és a lehetséges megoldások meghatározásához. Mindezek az eszközök és környezetváltások csökkentik a fejlesztők termelékenységét, így bár a csapatok látják a kódjuk és a nyílt forráskódú függőségeik biztonsági rések ellenőrzésének előnyeit, a csökkent teljesítmény miatt nem használják a kapott biztonsági eszközöket.

Annak érdekében, hogy a fejlesztők a biztonság feláldozása nélkül fenntartsák a termelékenységet, olyan átfogó SAST-megoldást kell keresniük, amely azonosítja: biztonsági és minőségi hiányosságok a szoftverfejlesztési életciklus korai szakaszában (SDLC), thé, olyan megoldásokat kell keresni, amelyek:

  • lehetővé teszi számukra, hogy kódolás közben gyorsan megtalálják a problémákat. Ha a fejlesztők valós időben meg tudják oldani ezeket a problémákat, az azt jelenti, hogy ezek a problémák nem hagyják el a fejlesztői munkaállomást;
  • teljes vizsgálatot végeznek, ha szükségük van rá; és
  • közvetlenül az IDE-ben, anélkül, hogy az IDE-ben helyileg kellene szkennelni, megtekintheti a szervereken jelentkező problémákat a CI/CD beolvasásból.

Ezekre az igényekre reagálva a Synopsys kifejlesztette a Code Sight-ot, és a közelmúltban kiadta a Code Sight Standard Edition-t (SE). A Code Sight SE egy IDE-alapú alkalmazásbiztonsági megoldás, amely segít a fejlesztőknek megtalálni és kijavítani a biztonsági réseket kódolás közben anélkül, hogy eszközöket váltanának vagy módosítanának. munkafolyamat.

„Rengeteg időt töltöttünk a Code Sight tervezésével” – mondta Raj Kesarapalli, a Synopsys termékmenedzsmentért felelős vezető menedzsere. Elmondta, hogy a Code Sight fő erőssége abban rejlik, hogy képes a fejlesztői relevanciát előtérbe helyezni. Ezt az előnyt a sérülékenységek azonosításával biztosítja, miközben Ön még a fejlesztői környezetben van. Azt is biztosítja, hogy a végrehajtott változtatások következtében ne kerüljön sor új problémákra.

Csak a szóban forgó kiválasztott fájlokat vizsgálja meg problémákat keresve. A fennmaradó több száz vagy több ezer fájlt egy korábbi vizsgálat környezetében dolgozza fel. Ennek a hatalmas tudásbázisnak a kihasználása szükségtelenné teszi a fájlok teljes univerzumának azonnali és hosszadalmas átfogó vizsgálatát. Ez megadja a fejlesztőnek a szabadságot, hogy folytassa a kódírást, miközben egyidejűleg találja meg és oldja meg a problémákat – mindezt a fejlesztői környezetben.

A folyamat hasonló ahhoz, ahogy a helyesírás-ellenőrző a Microsoft Word-dokumentumokban működik, Kesarapalli elmondta: Míg a dokumentumban bizonyos szavakat vagy kifejezéseket javítanak, a szerző vagy a szerkesztő folytathatja a munkát, és csak kevés időt veszít, vagy egyáltalán nem veszít a folyamat előrehaladtával. folyamat halad előre.

Egy szoftvercsapat számára ez jelentős termelékenységnövekedést jelent.

“Ez megadja nekik azt, ami releváns, és amit gyorsan megtalálnak” – mondta. Ugyanakkor kevesebb hiba kerül be a központi elemzés kiterjesztett ciklusába. “Ez megszakítja a hurkot néhány probléma esetében” – mondta Kesarapalli.

A Code Sight növeli a fejlesztői termelékenységet, és a korai beavatkozás azt jelenti, hogy kevesebb dolga van a csapat többi tagjának. Valójában néhány, a fejlesztési környezetben korán azonosított probléma soha nem jut el a többi érdekelthez.

A fejlesztők szerte a világon hozzáférhetnek a szoftverhez egy ingyenes próbaverzió letöltésével, amely lehetővé teszi számukra, hogy kevesebb, mint öt perc alatt használják a szoftvert. A letöltés linkje a következő:

https://marketplace.visualstudio.com/items?itemName=SynopsysCodeSight.vscode-codesight

A Code Sight Standard előnézetének másik módja a következő bemutató videó:

https://community.synopsys.com/s/article/Getting-Started-With-Code-Sight-Standard-Edition

A tartalmat az SD Times és a Synopsys biztosítja

Leave a Comment

%d bloggers like this: