完全集成的 SaaS 产品可简化任何规模的 DevSecOps 应用安全测试

更快地交付安全、可信的应用产品是多个团队的共同责任。企业需要一个平台将开发、DevOps 和安全团队聚集在一起，满足DevSecOps发展需求，将安全融入整个软件开发生命周期(SDLC)中。

新思科技近日宣布将推出新一代Polaris Software Integrity Platform®软件质量与安全平台。该平台提供全新功能——快速应用安全测试(Fast Application Security Testing, fAST)，并将于2023年4月24日至27日在美国旧金山RSA信息安全大会上进行首秀。凭借新思科技fAST Static静态应用安全测试和 fAST SCA软件组成分析， DevOps 团队能够通过一个完全集成的 SaaS 平台快速找到并修复其专有代码和开源依赖项中的漏洞。

在现代云架构和可扩展的多租户SaaS交付的支持下，Polaris 平台使开发人员能够在几分钟内轻松上手并开始扫描代码，同时赋能安全团队，追踪测试活动并管理数千个应用的潜在风险。

新思科技软件质量与安全部门总经理Jason Schmitt表示：“现在，各种规模的开发、DevOps 和安全团队都需要一套完全集成和自动化的解决方案。该解决方案结合多种测试技术，降低复杂性，并与现代DevSecOps的发展步伐相匹配。通过 Polaris，我们正在提供一个兼顾多种需求的应用安全平台。该平台将经过验证的同类最佳技术统一到集成的 SaaS 平台中。而且该平台随着技术的升级可进行扩展，并得到众多行业领导者的支持。”

Polaris 软件质量与安全平台的最新增强功能加速了开发、DevOps 和安全团队的工作流程，使他们能够：

通过单一平台执行静态应用安全测试(SAST) 和软件组成分析(SCA)。新思科技fAST Static 和 fAST SCA 建立在成熟的 Coverity® 静态应用安全测试和 Black Duck® 分析引擎之上，只需一次单击即可加速准确检测源代码和开源软件中的漏洞，无需配置。 新思科技 fAST Static 的多线程分析允许用户运行增量扫描，速度比完整扫描快 5-10 倍，并且不会损失准确性；而新思科技 fAST SCA 则为团队提供开源漏洞的详细分析。得益于此，用户可以获得应用缺陷及漏洞的完整信息，加速解决风险。

通过简化的集成和自动化将安全性构建到DevOps 中。开箱即用的无缝集成可以轻松将Polaris平台连接到Jenkins和 Jira Cloud，以及GitHub、GitLab和Azure DevOps代码存储库。团队可以在整个企业中快速载入用户信息和应用，并根据定义的计划或作为任何CI工作流的一部分轻松地自动执行扫描。他们还可以定义安全策略以在发现漏洞时触发警报或停止构建，内置报告和分析支持可操作性，从而简化修复工作流程并追踪应用和团队的进度。

在企业范围内管理应用安全风险。Polaris 软件质量与安全平台的多租户 SaaS交付包括弹性容量、跨项目和扫描类型的并发扫描，以最大限度地缩短获得结果的时间，并可轻松扩展到数千个应用，满足大型企业开发团队的需求。对于安全团队，该平台的集成漏洞分析工具有助于在直观的仪表板中实时识别整个软件组合中的应用安全热点。该仪表板显示应用、项目和测试类型中的漏洞严重性和类型。此外，Polaris 还提供分类服务，以便新思科技应用安全专家审查静态分析结果并消除误报，从而显著提高扫描的效率、准确性和可操作性，同时确保失败和配置错误的扫描不会中断管道或开发人员工作流程。

Gartner 报告1显示，80%的安全和风险管理领导者现在希望通过更少的供应商来整合他们的安全支出。该分析公司指出，“由于业界需要降低复杂性、利用共性、减少管理开销并确保更有效的安全性，安全技术在多个安全领域的融合正在加速。。”

参考资料：

1. Gartner, Inc. “Top Trends in Cybersecurity 2022” by Richard Addiscott, William Candrick, Peter Firstbrook, et. al., Feb. 18, 2022.