Tháng 7/2021, Synopsys, Inc. đã công bố tính năng Quét nhanh Rapid Scan mới có sẵn trong giải pháp kiểm tra bảo mật ứng dụng tĩnh Coverity (SAST) và phân tích thành phần phần mềm Black Duck (SCA). Tính năng Rapid Scan cung cấp khả năng phát hiện lỗ hổng nhanh, không chiếm nhiều tài nguyên cho cả mã nguồn mở và source code tự phát triển. Rapid Scan được tối ưu hóa cho giai đoạn đầu của quy trình phát triển phần mềm ban đầu, đặc biệt cho các ứng dụng cloud-native và infrastructure-as-code (IaC).
Mặc dù kiểm tra bảo mật toàn diện và kỹ lưỡng là rất quan trọng để quản lý rủi ro trong các giai đoạn sau của vòng đời phát triển phần mềm (SDLC), nhưng các công việc đó thường tốn thời gian và tài nguyên để thực hiện quét toàn diện ở mọi bước trong giai đoạn đầu của SDLC. Rapid Scan bổ sung cho các hoạt động kiểm tra bảo mật ứng dụng thông thường bằng cách cho phép các nhóm developer thực hiện quét SAST và SCA nhanh ở mọi lần code check-in hoặc early-stage build mà không làm chậm chúng. Nó cho phép các developer thực hiện shift-left một cách hiệu quả và ngăn chặn các vấn đề bảo mật lây lan sang các giai đoạn sau của SDLC.
Các khả năng mới bao gồm:
Coverity Rapid Scan
Tính năng Rapid Scan mới của Coverity SAST cung cấp phân tích bảo mật nhanh chóng đối với source code trên máy tính của developer và trong các CI pipeline như GitLab và GitHub Actions. Coverity Rapid Scan được tối ưu hóa cho các ứng dụng cloud-native được xây dựng trên cơ sở hạ tầng infrastructure-as-code như Kubernetes, Terraform và CloudFormation và các microservice như GraphQL, Kafka và Postman. Rapid Scan có thể nhanh chóng phát hiện nhiều điểm yếu bảo mật phổ biến nhất, cũng như các lỗi misconfiguration có vấn đề và việc sử dụng sai API.
Black Duck Rapid Scan
Tính năng Rapid Scan của Black Duck SCA cho phép các developer và người quản lý phát hành thực hiện phân tích phụ thuộc nhanh chóng để xác định xem có bất kỳ thành phần nguồn mở nào trong ứng dụng của họ vi phạm chính sách cấp phép và bảo mật của tổ chức hay không trước khi merge code vào release branch. Black Duck Rapid Scan được tối ưu hóa về tốc độ và hiệu quả bằng cách cung cấp cho các developer cái nhìn sâu sắc sớm về rủi ro phụ thuộc và bằng cách trì hoãn các hoạt động SCA tiêu tốn nhiều tài nguyên như Phát hiện mã nguồn mở multi-factor và tạo ra một list BOM thành phần hoàn chỉnh.
Điều phối thông minh và Rapid Scan
Khả năng Quét nhanh của Coverity và Black Duck có thể được sử dụng cùng với giải pháp Điều phối thông minh của Synopsys để tự động kích hoạt quét SAST và SCA nhanh dựa trên các sự kiện trong CI pipeline. Điều phối thông minh (Intelligent Orchestration) cho phép các nhóm DevOps chạy các bài kiểm tra bảo mật phù hợp vào đúng thời điểm, có thể tận dụng Rapid Scan ở các giai đoạn đầu trong quá trình khi tốc độ và hiệu quả là yếu tố quan trọng và nó có thể chạy toàn bộ quá trình quét Coverity và Black Duck ở các giai đoạn sau của khi xác nhận chất lượng và bảo mật của các ứng dụng trước khi triển khai.
Liên hệ với ASIC Technologies để được tư vấn về Giải pháp Bảo mật Synopsys Rapid Scan