《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 新思科技軟件組成分析解決方案幫助企業(yè)保護開源資源

新思科技軟件組成分析解決方案幫助企業(yè)保護開源資源

2021-03-21
來源:21ic中國電子網

  在當今軟件開發(fā)中,,幾乎離不開開源組件。軟件公司也在尋求有效的解決方案,,以方便團隊管理在應用和容器中使用開源和第三方代碼所帶來的安全,、質量和許可證合規(guī)性風險。多年來,,許多公司一直采用Black Duck? 軟件組件分析 (SCA),,將開源治理集成至 DevSecOps 并實現(xiàn)自動化, 預防并管理開源風險,。Avira軟件公司是其中一家,。

605446083e436.jpg

  Avira背景介紹

  自1986年以來,Avira Operations GmbH&Co. KG提供安全,、私密,、性能出色的軟件組合,,在同類產品中脫穎而出。Avira是一家跨國計算機軟件公司,,開發(fā)用于臺式機,、移動設備和智能家居的產品,提供免費升級及高級版本,。

  挑戰(zhàn):保證DevOps速度,,確保開源軟件安全

  開源軟件已成為常態(tài),在技術和非技術公司中都很常見,。如今,,開源已成為每個行業(yè)幾乎所有應用程序的基礎。盡管開源的普及和采用量激增,,企業(yè)通常仍然無法有效地管理其安全性,。

  新思科技(Synopsys)每年都會發(fā)布《開源安全性和風險分析報告》,洞悉開源安全性,、合規(guī)性和代碼質量風險的當前狀態(tài),。2020年報告發(fā)現(xiàn),在經過審核的1,253個應用中,,有99%包含開源代碼,,而這些代碼庫中有75%包含漏洞。顯然,,這顯示了開源代碼的優(yōu)勢以及缺乏開源代碼漏洞管理,。

  開源安全的需求日益增長。隨著企業(yè)轉向敏捷的DevOps開發(fā)周期,,安全解決方案必須能夠充分擴展并保持同步,。

  Avira等企業(yè)想要提供行業(yè)領先的軟件產品,就必須使用安全可靠的代碼,。因此,,他們必須將強大的安全解決方案納入其軟件開發(fā)生命周期中,以便充分管理開源,。

  Avira信息安全官Marian Schneider指出,,Avira DevOps流程中的關鍵挑戰(zhàn)包括:產品復雜性不斷增加、市場法規(guī)增加以及需要替代手動流程,。這些挑戰(zhàn)驅使Avira尋求一種跟上其DevOps需求并保持其規(guī)模的開源安全解決方案,。

  Marian Schneider表示:“從DevOps方面來看,開源安全變得越來越重要,,Avira開始在市場上尋找集成到DevOps管道中的工具,。”

6054461f5d197.png

  解決方案:新思科技應用安全測試工具

  Avira采用了新思科技BlackDuck?軟件組成分析(SCA)解決方案來幫助保護其開源資源,并確保安全措施不會減慢開發(fā)速度,。 Black Duck是一種全面的SCA解決方案,,用于管理在應用程序和容器中使用開源的安全性、許可證合規(guī)性和代碼質量風險,。

  為了擴展DevOps渠道和產品套件,,Avira大規(guī)模采用了Black Duck。所有開發(fā)團隊在所有Avira產品中都部署B(yǎng)lack Duck,,并且經常進行掃描,。Avira在每個主版本發(fā)布和/或構建中都啟用Black Duck。

  當被問及為何Avira選擇Black Duck SCA時,,Marian Schneider解釋道:“摘要掃描(合規(guī)端),、安全信息以及從DevOps端集成到DevOps流程中。 Black Duck概念驗證表明,,它發(fā)現(xiàn)并顯示了問題,,提供Avira所需的信息?!?/p>

  效果:簡化安全工作,,加強溝通

  Marian Schneider表示:“安全是一種權利,而不是特權,。所有客戶都有獲得安全軟件的權利,,而不是專屬于某些人或者產品?!?/p>

  在實施Black Duck之前,,Avira的開源風險是通過兩種方式進行管理的:通過Confluence和Jira處理許可證,并使用基于文檔化的第三方庫自定義Python腳本處理通用漏洞披露(CVE),。這些脫節(jié)和孤立的流程無法擴展或與Avira的DevOps管道保持同步,。Avira需要一個能夠保持開發(fā)速度的綜合解決方案。

60544637ac82b.png

  Marian Schneider指出,,部署B(yǎng)lack Duck給Avira帶來許多好處,,其中最重要的是在DevOps中增加了自動化流程和集成工具。

  她說:“現(xiàn)在,,開源的安全性和合規(guī)性已深深地嵌入到開發(fā)過程中,,而不是由合規(guī)性團隊進行管理?!?/p>

  Marian Schneider發(fā)現(xiàn)Black Duck提供了更高的可擴展性,,消除了對手動操作的需求,并且提升員工對開源代碼安全重要性的整體意識,。而且,Black Duck帶來了意想不到的好處:“隨著意識的增強,開發(fā)人員與法律部門之間的交流增加了”,。

  憑借Black Duck SCA,,Avira確保了開源安全,其產品擁有可靠的安全性,,表現(xiàn)出色,,進一步鞏固了其領先的行業(yè)地位。


本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,,并不代表本網站贊同其觀點。轉載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118,;郵箱:aet@chinaaet.com,。