参加世界上任何一个重要的安全会议,你都会经常听到这样的评论:企业提高软件安全性的最佳方式是进行开发和运营团队可以更轻松地将安全性“构建”到软件中。这个说法在全球安全大会RSA上也得到了验证。RSA2020安全会议在美国旧金山举行,期间有一系列备受瞩目的“DevOpsConnect:DevSecOpsDays”全天会议,通过小组讨论企业如何更无缝地将安全构建到软件开发和运营中讨论和主题演讲中间。该系列的会议赞助商Synopsys在RSA会议上宣布了最近的举措,旨在使支持DevOps的安全组件更易于使用。首先,Synopsys宣布对其Polaris软件完整性平台进行重大更新,通过原生集成CodeSightIDE插件,将其静态应用程序安全测试(SAST)和软件组成分析(SCA)功能扩展到开发人员的桌面。这些功能是解决方案中的首创,将使开发人员能够在不离开交互式开发环境(IDE)的情况下主动发现并修复专有代码中的安全漏洞以及开源依赖项中的已知漏洞。简而言之,这将使软件构建更安全、更轻松、更快速。Synopsys产品营销总监PatrickCarey指出了开发团队与安全之间持续紧张的原因:开发人员将安全视为“破坏性”。你为什么这么说?当在标准工作流程中报告错误时,开发人员已经转移到下一个任务。要纠正问题,他们必须中断他们正在做的事情,回来,重新打开代码,进行修复,然后重新测试。然而,最新版本的CodeSightIDE插件通过帮助开发人员在构建软件时发现并解决专有和开源问题,而不是切换工具或中断他们的工作流程,解决了这一冲突。PatrickCarey表示:“这将从根本上改变开发人员在开发过程中检测、分析和补救安全风险的方式。”此外,Synopsys已完成对TinfoilSecurity的收购。TinfoilSecurity总部位于美国加利福尼亚州,是动态应用程序安全测试(DAST)和应用程序编程接口(API)安全测试解决方案的创新提供商。通过收购TinfoilSecurity,Synopsys可以扩展其DAST应用程序并添加API安全测试功能。TinfoilSecurity的DAST技术可以无缝集成到开发和DevOps工作流中。此外,TinfoilSecurity创新的API扫描技术满足了市场不断增长的需求,增加了Synopsys的产品组合。TinfoilSecurity的Web扫描解决方案是下一代DAST技术,可识别Web应用程序上的漏洞并与DevOps工作流紧密集成。TinfoilSecurityAPIScanner检测API中的漏洞,包括移动后端服务器、物联网设备和任何RESTfulAPI等网络连接设备。无论是下一代DAST技术,还是API安全测试功能,都是Synopsys首席科学家SammyMigues曾经提出的“软件安全巨变”。SammyMigues在RSA大会上发表了关于“下一个伟大的软件安全迁移”的演讲。SammyMigues是SynopsysBuildforSoftwareSecurityMaturityModel(BSIMM)的合著者,自该报告首次发布以来一直参与其中。2019年发布的第十个版本BSIMM10已经突出了这些变化。“这些变化有可能解决当今软件安全计划(SSI)不满意的许多问题,包括敌对关系、不合理的摩擦、劳动密集型工作、容易出错的流程和有缺陷的软件。”将安全性引入软件以一种不会减慢你速度的方式进行开发。“充分利用敏捷流程、CI/CD工具和DevOps文化使我们能够消除一些技术债务,定义一些策略,然后做出我们预期的改变。”作为早在2011年,SammyMigues就率先提出了安全“左移”的人,“左移”现在已经是业界的一个众所周知的术语,指的是在开发之初就将安全融入到软件中,而不是等到“文化”是DevSecOpsDays活动的主旋律。在关于“DevSecOps和颠覆性开发”的小组讨论中,与会者一致认为将三个团队聚集在一起不是技术问题,而是人为问题,这与今年RSA大会的主题“人为因素”非常吻合。(人为因素)。小组讨论包括Equifax首席转型官肖恩·戴维斯(SeanDavis);ChrisRoberts,AttivoNetworks顾问;英特尔全球网络安全政策总监AmitElazari;和主持人CharleneLi(TheDisruptionMindset《颠覆性思维》的作者)。他们都同意,变革是“痛苦的”,需要人类的合作,这是取得进步的唯一途径。“开发、安全和运营团队互相抱怨,他们不了解不同团队在做什么,或者他们不相互沟通,”SeanDavis说。取得成功。”ChrisRoberts说:“这意味着不同的团队一起工作,而不是单独行动。如果你完全独立工作,你可能无法实现你的目标;这是关于我们——而不是我,如何解决问题。”
