当今世界是一个软件的世界,众多业务运行在软件上,一个小小的智能设备上的开关都有数万行到数十万行代码。因此,当软件与我们的联系越来越密切的时候,我们同时就面临着一个问题,数万行代码到数千万代码编织成的软件,如果其出现质量和安全问题,代表着软件出现缺陷,那么造成的风险影响越来越大。比如对于航天器来讲,代码里面的一个小小的逗号丢失都会造成不可估量的损失。
同样对于企业来讲,实现安全、高质量的软件开发也已经成为一个重要的核心竞争力。Synopsys就是一家能够提供一个把安全性和高质量融入整个软件研发生命周期(Software Development Life Cycle, SDLC)和供应链的全面的软件完整性平台解决方案的公司。
提到Synopsys,人们第一时间想到的是一家EDA公司(Electronic Design Automatic电子设计自动化)。但是Synopsys也同时是一家全球知名的软件完整性解决方案平台公司,为整个SDLC和供应链提供一个高质量和高安全的解决方案。目前全球前20家商业银行中的17家,10大软件公司中的9家,5大健康医疗公司中的4家采用了Synopsys的解决方案。
Synopsys SIG(软件质量与安全部门)的高级安全架构师韩葆(Bob Han)
近日至顶网记者走进Synopsys北京公司,与Synopsys SIG(软件质量与安全部门)的高级安全架构师韩葆(Bob Han)进行了一对一的交流,他表示Synopsys搭建了成熟的软件质量与安全解决方案,已经协助众多软硬件企业企业在开发、测试、交付软件过程中提高生产力、提供高效、高安全、高质量的高准确率的软件质量与安全解决方案上获得了巨大的成功。同时Synopsys拥有多名安全专家提供全方位的培训和支持服务。
为了让记者明白Synopsys SIG是做什么,韩葆把软件开发比作生产一道门。“比如说一道门,典型的一个功能,把这个门打开关闭的功能,只要能去防护就好,但是这一道门它到底是什么用途?是不是足够安全,这需要去考量,可能是我用一个纸板也可以实现门的一个功能,但是为什么要用木头,或者要用钢铁,这都是不同层级的防护,也是不同的需求。这些需求就相当于质量和安全的需求,可能有一些非常机密文件、存放金钱的,我要更坚固的材质以及加上很高层的密码锁,这些都是安全的需求。但是更重要的是,其实在这个门还没有去制作之前,你就要去考虑这些需求,而不是等到门装上了,才发现需求没有被满足。”
在软件质量和安全领域这个过程叫做安全风险评估,首先要做评估安全风险,然后去实现这样的一个设计,设计完了之后是要告诉研发团队,怎么样去做好安全的流程,在软件研发过程中怎么样去实现安全的规范,以及质量合规。对于严谨的软件开发来讲需要通过培训的方式去执行,通过安全咨询培训,安全咨询服务去达成的。
Synopsys为软件的质量和安全提供全方位的工具和服务
Synopsys SIG针对软件安全与质量提供了完整的解决方案。首先在软件开发的前期,Synopsys的Cigital咨询团队将严格确保每一家客户获得最准确的安全评估。Synopsys的端到端解决方案为企业提供了在其开发、测试和采购生命周期的每一步,确保质量和安全性所需要的一切。包括丰富的测试项目,能够在编码过程中以极高的准确度发现质量缺陷及安全漏洞的静态代码分析(Coverity)。能够从二进制文件、 开源代码以及第三方代码中发现许可证合规性问题和已知漏洞的软件组件分析(Protecode)。 还可以通过不正确的输入格式对系统进行随机测试,以触发危险的、未知的漏洞智能模糊测试(Defensics)。能够通过模拟应用中的实际漏洞测试,验证其结果并消除误报的交互式应用安全测试(Seeker)。这些要素都能为客户尽可能的减少企业在开发过程中的关键风险并减少误报。
其次Synopsys还提供托管服务,Synopsys提出 “Build Security In”模式,在企业需要时,通过与数百名安全和质量专家的交流,缩小检测空白、进行深度的测试,并快速扩展以管理高需求测试期。包括渗透测试:消除服务器端应用和API 中的漏洞。动态应用安全测试(DAST):在 Web 应用运行过程中发现安全漏洞,而不需要源代码。移动应用安全测试:把传统的静态和动态测试技术结合到一起,以发现漏洞、恶意软件或潜在危险的行为。静态应用安全测试(SAST):扫描源代码,并系统性地发现和消除软件安全漏洞。
第三,Synopsys提供专业的服务。Synopsys采取一种整体的方法来设计、构建和维护安全软件,Synopsys将这一概念称为“内置完整性” (Building Integrity In)。Synopsys通过提供了一套全面的软件安全性和质量解决方案组合,并以专业服务的方式来交付。也包括为云计为部署到云端的应用开发可持续的软件完整性计划。以及解决物联网下的通过分析访问向量(包括通信、客户端和服务器)来发现软件缺陷。
第四、Synopsys提供程序设计与开发的能力。Synopsys的专家借鉴广泛的经验,与数百家组织机构开展合作,实施的软件安全性计划(SSI)通过内置安全成熟度模型(Build Security In Maturity Model, BSIMM),评估企业应用软件当前的状态来评测软件安全性计划(SSI) 的有效性。推出“开箱即用的”软件安全性计划:通过各种标准、工具和培训,为持续性改进设定道路。通过成熟度行动计划(MAP),为制定或完善您的软件安全计划确定明确的方向。Synopsys的目标是把最强大的产品和服务结合到一起创建出一套全面的平台,为企业提供在整个 SDLC 过程中检测和修复缺陷所需要的一切东西,从而消除风险,防患于未然。
第五是培训,软件开发人才的培养是非常重要的,Synopsys为软件开发机构中的每个角色提供培训,以帮助他们发展必要的技能,创建和维护安全、 高质量的软件。
可以看到,Synopsys的方法论建立在经过长时间考验的软件安全和质量基本原理的基础之上, 而且根据各个平台、开发流程及技术的独特要求进行调整。提供一套全面的托管的、专业的服务、 产品和培训,并能够根据客户的具体需求进行量身定制。总而言之,这些解决方案为Synopsys的客户提供了一套一致的、无缝的途径,来管理风险和合规性、提高运营效率、缩短上市时间,并最大程度地降低成本。
当然用户还是关心Synopsys的解决方案优势,韩葆认为第一Synopsys无论在软件和硬件的验证和检测领域都是积累了非常多的历史经验,有着三四十年的经验积累,从硬件到软件都已经完整的覆盖到。第二,Synopsys拥有业界最精准的分析引擎。Synopsys所有的解决方案基本上都是数学的一个验证,数学的认证过程,所以它的精准度是非常高的。一方面它检测的非常全面,另一方面Synopsys检测的精准度非常高,相对于竞争对手精准度高4-5倍,竞争对手一般是70%左右误报率,Synopsys是10%-20%的误报率。
第三,Synopsys拥有实现软件完整性的一整套解决方案。友商可能只有这一个产品只对应一个需求,例如它只做静态代码分析,只做软件组件分析的防护,Synopsys拥有从静态代码分析、软件组件分析、智能模糊测试、交互式应用安全测试的测试领域到渗透测试、动态、静态移动、应用安全测试再到IOT、云计算、CI/CD、架构设计建模等以及评估和专业的培训专家等。
通过采访交流,至顶网发现企业要构建一个完整的、安全的、高质量的SDLC和供应链。真正需要一个专业的、全面的、完整的解决方案,那么拥有领先的测试技术、自动化分析工具、众多的专家、完整的产品和服务厂商Synopsys应该是最合适的选择。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。