作為全球第15大軟件公司，新思科技(Synopsys)公司是眾多創(chuàng)新型公司的 Silicon to Software（"芯片到軟件"）合作伙伴，這些公司致力于開(kāi)發(fā)我們?nèi)粘Ｋ�依�?lài)的電子產(chǎn)品和軟件應(yīng)用。新思科技幫助研發(fā)人員構(gòu)建安全、高質(zhì)量的軟件，降低風(fēng)險(xiǎn)的同時(shí)提升速度及生產(chǎn)力。新思科技是應(yīng)用安全領(lǐng)域公認(rèn)的佼佼者，提供靜態(tài)分析、軟件組成分析、動(dòng)態(tài)分析解決方案，幫助研發(fā)團(tuán)隊(duì)更快地找到專(zhuān)有代碼、開(kāi)源組件及應(yīng)用程序行為中的漏洞和缺陷，并修復(fù)它們。通過(guò)結(jié)合行業(yè)領(lǐng)先的工具、服務(wù)和專(zhuān)業(yè)知識(shí)，新思科技可以幫助企業(yè)優(yōu)化DevSecOps和整個(gè)軟件開(kāi)發(fā)生命周期中的安全和質(zhì)量。

　　在數(shù)字經(jīng)濟(jì)時(shí)代，軟件驅(qū)動(dòng)創(chuàng)新。因此，管理軟件風(fēng)險(xiǎn)對(duì)于保障業(yè)務(wù)運(yùn)營(yíng)和盈利至關(guān)重要。日前，在新思科技舉辦的線上媒體交流會(huì)上，新思科技中國(guó)區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國(guó)梁與大家分享了新思科技最新推出的Code Sight插件標(biāo)準(zhǔn)版，并與大家就如何能夠幫助企業(yè)更好地適應(yīng)DevSecOps的轉(zhuǎn)型，以更快的速度幫助企業(yè)交付更加可信和更加安全的軟件進(jìn)行了溝通交流。

　　新思科技中國(guó)區(qū)軟件應(yīng)用安全技術(shù)總監(jiān) 楊國(guó)梁

　　楊國(guó)梁畢業(yè)于瑞典皇家理工學(xué)院，獲得碩士學(xué)位。他曾在科諾康(Codenomicon)出任安全工程師，由此開(kāi)啟專(zhuān)注于信息安全的職業(yè)生涯。

　　在科諾康任職期間，楊國(guó)梁幫助企業(yè)客戶發(fā)現(xiàn)和修復(fù)其基于軟件的產(chǎn)品和系統(tǒng)的關(guān)鍵安全漏洞。他專(zhuān)注于電信、工業(yè)控制系統(tǒng)、汽車(chē)、醫(yī)療器械及物聯(lián)網(wǎng)等領(lǐng)域。

　　楊國(guó)梁現(xiàn)在帶領(lǐng)新思科技中國(guó)安全技術(shù)團(tuán)隊(duì)，幫助客戶在軟件開(kāi)發(fā)生命周期及供應(yīng)鏈方面建立更完善的安全和質(zhì)量體系。

　　目前在生活中所接觸到的各行各業(yè)或者說(shuō)方方面面，其實(shí)和軟件已經(jīng)產(chǎn)生了直接的關(guān)聯(lián)，甚至所有的這些軟件已經(jīng)成為國(guó)計(jì)民生日常生活必不可少的部分。楊國(guó)梁舉例說(shuō)：F-22戰(zhàn)斗機(jī)用到大約170萬(wàn)行軟件代碼,相比現(xiàn)如今的豪華轎車(chē)則包含近1億行軟件代碼；為了支持每天超過(guò)400萬(wàn)次構(gòu)建，在谷歌的系統(tǒng)中每天運(yùn)行超過(guò)5億次測(cè)試。現(xiàn)階段的所有的軟件行業(yè)或者說(shuō)各行各業(yè)，其實(shí)都是在面臨一個(gè)非�？焖俚陌l(fā)展，隨之代碼也在跟著急劇膨脹。

　　對(duì)于這些問(wèn)題，楊國(guó)梁做了這樣的表述：“代碼更多，測(cè)試頻率更快是軟件開(kāi)發(fā)的重要趨勢(shì)。如何在開(kāi)發(fā)周期的初始階段就發(fā)現(xiàn)并解決問(wèn)題，更好地適應(yīng)云原生和DevSecOps轉(zhuǎn)型，正變得日益迫切。新思科技(Synopsys)最新推出的Code Sight標(biāo)準(zhǔn)版，正好可以應(yīng)對(duì)這些挑戰(zhàn)。”

　　在中國(guó)，隨著數(shù)字化轉(zhuǎn)型步伐加速，軟件開(kāi)發(fā)的速度也需要跟上。如果在編寫(xiě)代碼的時(shí)候就能內(nèi)置安全性，軟件開(kāi)發(fā)也將提速，也能提升安全性。為此，新思科技(Synopsys)全面推出 Code Sight 標(biāo)準(zhǔn)版，這是適用于集成開(kāi)發(fā)環(huán)境 (IDE) 的 Code Sight 插件的獨(dú)立版本，使開(kāi)發(fā)人員在提交代碼前就能夠快速查找和修復(fù)源代碼、開(kāi)源依賴(lài)項(xiàng)、基礎(chǔ)架構(gòu)即代碼等文件中的安全缺陷。

　　楊國(guó)梁表示，Code Sight插件，其實(shí)可以說(shuō)是給開(kāi)發(fā)人員提供了一種“神兵利器”，能夠讓他們?cè)陂_(kāi)發(fā)的第一時(shí)間就規(guī)避一些潛在的安全問(wèn)題。

　　Code Sight其實(shí)就是一個(gè)安全左移非常好的實(shí)踐，據(jù)介紹，Code Sight在編寫(xiě)代碼的時(shí)候就能將安全內(nèi)置，查找并關(guān)注代碼中的安全缺陷；識(shí)別易受攻擊的開(kāi)源依賴(lài)項(xiàng)；通過(guò)自動(dòng)修復(fù)更快地解決問(wèn)題以及編寫(xiě)更好的代碼并避免安全問(wèn)題。

　　從另外一個(gè)角度說(shuō)，安全左移最好的規(guī)避時(shí)間點(diǎn)，就是在開(kāi)發(fā)的同時(shí)，第一時(shí)間在寫(xiě)的同時(shí)，就能夠把安全問(wèn)題給指出來(lái)，避免把這些安全問(wèn)題在第一時(shí)間寫(xiě)到代碼里面，或者引入到代碼里面。Code Sight其實(shí)解決的就是這樣一個(gè)問(wèn)題。

　　楊國(guó)梁介紹說(shuō)：通過(guò)在IDE應(yīng)用市場(chǎng)的下載和安裝，我們集成了Coverity，就是新思科技的靜態(tài)應(yīng)用安全測(cè)試的工具以及Black Duck軟件組成分析工具，將里面的一些Rapid Scan快速掃描的功能集成到Code Sight的插件上，在研發(fā)人員寫(xiě)下這一行的代碼，打開(kāi)和保存的同時(shí)就觸發(fā)分析，讓開(kāi)發(fā)人員在第一時(shí)間就能夠享受到安全帶來(lái)的一些便利。

　　從幾年前就在強(qiáng)調(diào)安全左移的概念，但最近兩年其實(shí)看到隨著云化的部署和其他各種各樣的部署形式，隨著云原生等等開(kāi)展，隨著在DevOps的開(kāi)展，可能單純地左移不一定能夠解決安全問(wèn)題了。在整個(gè)開(kāi)發(fā)運(yùn)營(yíng)的各個(gè)環(huán)節(jié)，各個(gè)階段都有相應(yīng)的安全活動(dòng)需要開(kāi)展，楊國(guó)梁展開(kāi)道。

　　現(xiàn)在整個(gè)行業(yè)都在做數(shù)字化轉(zhuǎn)型，其實(shí)數(shù)字化轉(zhuǎn)型過(guò)程中的重中之重就是確保軟件可信。如何能夠更加快速地構(gòu)建可信安全的軟件，以有效地管理業(yè)務(wù)風(fēng)險(xiǎn)？新思科技總結(jié)了以下三點(diǎn)：

　　首先，保護(hù)軟件供應(yīng)鏈安全，使用全面的AST工具，檢測(cè)專(zhuān)有代碼、OSS/第三方依賴(lài)項(xiàng)、應(yīng)用程序行為和部署配置中的安全性、質(zhì)量和合規(guī)性問(wèn)題。

　　其次，將安全性納入DevOps，借助智能AST編排和關(guān)聯(lián)，幫助團(tuán)隊(duì)保持DevOps速度，并將修復(fù)重點(diǎn)放在對(duì)業(yè)務(wù)最關(guān)鍵的問(wèn)題上。

　　最后，建立全面的應(yīng)用安全項(xiàng)目，這使人員、流程和技術(shù)保持一致，以解決整個(gè)企業(yè)和應(yīng)用生命周期所有階段的安全風(fēng)險(xiǎn)。

　　楊國(guó)梁總結(jié)道：從流程的角度來(lái)看，Code Sight能夠補(bǔ)充并且改進(jìn)應(yīng)用安全測(cè)試效率，讓開(kāi)發(fā)團(tuán)隊(duì)更有效的貫徹“安全左移”。采用Code Sight 標(biāo)準(zhǔn)版，開(kāi)發(fā)人員在編碼時(shí)就能修復(fù)安全缺陷，減輕了下游安全測(cè)試的負(fù)載，也避免了在開(kāi)發(fā)人員已經(jīng)執(zhí)行其它任務(wù)時(shí)才發(fā)現(xiàn)之前的代碼缺陷和漏洞，最大限度地減少了代價(jià)高昂的返工，更快地發(fā)布更高質(zhì)量的軟件。

　　正如新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Jason Schmitt所言：在現(xiàn)代軟件開(kāi)發(fā)中，“速度為王”，并且軟件風(fēng)險(xiǎn)等同于業(yè)務(wù)風(fēng)險(xiǎn)。這就意味著開(kāi)發(fā)人員肩負(fù)重任，需要確保軟件安全和公司業(yè)務(wù)安全。Code Sight插件嵌入了市場(chǎng)領(lǐng)先的開(kāi)源和代碼分析技術(shù)，根據(jù)開(kāi)發(fā)人員的速度要求進(jìn)行了優(yōu)化，并且可以直接集成在他們正在使用的工具中，不愧為開(kāi)發(fā)人員的“神兵利器”。