新思科技發(fā)布新的Polaris功能 開發(fā)人員可以主動查找并修復第三方和自定義組件中的安全風險

飛象網(wǎng)訊 應用安全性不應降低開發(fā)速度。因此，盡早找到并修復安全缺陷對開發(fā)人員來說至關重要。

新思科技Polaris 通過在開發(fā)和構建/測試環(huán)境中使用相同的強大安全分析引擎，確保整個開發(fā)過程中獲得一致的結果。新思科技近期發(fā)布Polaris重大更新，通過在IDE中同時提供實時的SAST和SCA結果，開發(fā)人員可以實時解決問題，使其能夠更快地構建安全、優(yōu)質(zhì)的軟件。

新思科技（Synopsys, Inc.，Nasdaq: SNPS）于2月18日發(fā)布Polaris軟件完整性平臺的重大更新，通過Code Sight IDE 插件的本機集成將其靜態(tài)應用安全測試（SAST）和軟件組成分析（SCA）的功能擴展到開發(fā)人員的桌面。這些功能在同類解決方案中是史無前例的，將使開發(fā)人員能夠主動查找并修復專有代碼中的安全缺陷以及開源代碼依賴項中的已知漏洞，而無需離開他們的交互式開發(fā)環(huán)境（IDE）。

新思科技軟件質(zhì)量與安全部門解決方案副總裁Simon King表示：“在現(xiàn)代開發(fā)環(huán)境中，安全測試需要無縫集成到開發(fā)人員的工作流程中，但同時還需要覆蓋專有代碼和第三方代碼。通過在IDE中同時提供實時的SAST和SCA結果，新思科技可以使開發(fā)人員能夠在構建自己的應用程序時檢測在其自身代碼以及所利用的開源組件中的安全缺陷。開發(fā)人員可以實時解決問題，避免因問題未被發(fā)現(xiàn)而開發(fā)人員繼續(xù)執(zhí)行其他任務之后的數(shù)天、數(shù)周甚至數(shù)月產(chǎn)生的風險和生產(chǎn)的損失。隨著新功能的發(fā)布，Code Sight IDE插件的本機集成使開發(fā)人員能夠更快地構建安全、高質(zhì)量的軟件�！�

關于Code Sight IDE插件的更多信息：

·         在2019年首次推出Code Sight SAST功能的基礎上，新的版本引入了可以分析已聲明和可傳遞開源依賴項的功能，并在IDE中的SAST發(fā)現(xiàn)中標記已知安全問題的組件。

·         使用新的SCA功能，開發(fā)人員可以在不離開IDE的情況下查看已標記組件的已知漏洞，以驗證風險并確定修復選項。

·         Code Sight插件提供來自新思科技獨立研究的黑鴨安全公告（BDSCAs）的漏洞信息以及來自國家漏洞數(shù)據(jù)庫（NVD）的公共CVE記錄。

·         BDSAs為開發(fā)人員提供了比NVD更及時、準確以及徹底的風險和補救信息，幫助他們比用其他解決方法更快地查找和修復漏洞。

·         Code Sight通過提供詳細的修補指南，引導開發(fā)人員到更安全的組件版本，來幫助開發(fā)人員快速識別并選擇最佳的漏洞修復方法。之后開發(fā)人員可以立即實施修補程序，而無需中斷工作流程或離開IDE。

·         除了漏洞信息之外，Code Sight插件還提供開發(fā)人員可以用來優(yōu)化組件選擇的其他信息，包括開源許可證風險以及可能違反組織預定義的開源策略的安全性和許可證合規(guī)性。