新思科技助力以色列Visuality Systems構(gòu)建可信軟件 持續(xù)改進(jìn)代碼質(zhì)量與安全

開(kāi)發(fā)和安全團(tuán)隊(duì)在編碼開(kāi)發(fā)過(guò)程中解決安全和質(zhì)量缺陷，有助于向客戶(hù)交付可信軟件。借助應(yīng)用安全測(cè)試工具掃描漏洞和缺陷是開(kāi)發(fā)人員常用的方法，越快速、越準(zhǔn)確獲得掃描結(jié)果，就能越及時(shí)地進(jìn)行修復(fù)。

Visuality Systems Ltd. 總部位于以色列約克尼穆，是全球領(lǐng)先的服務(wù)器消息塊 (SMB) 協(xié)議解決方案開(kāi)發(fā)商和供應(yīng)商。該解決方案是一種數(shù)據(jù)和打印機(jī)通信協(xié)議，可跨網(wǎng)絡(luò)節(jié)點(diǎn)提供對(duì)文件和打印機(jī)的共享訪(fǎng)問(wèn)。 Visuality Systems 擁有超過(guò) 150 家客戶(hù)，提供最全面的 Microsoft SMB 客戶(hù)端和 SMB 服務(wù)器解決方案，用于各種嵌入式產(chǎn)品、基于 Java 的應(yīng)用程序和存儲(chǔ)系統(tǒng)。

挑戰(zhàn)：代碼質(zhì)量和安全測(cè)試愈加嚴(yán)格

Visuality Systems自動(dòng)化經(jīng)理Limor Segal-Shevah表示:“軟件安全是我們客戶(hù)的優(yōu)先事項(xiàng)，他們期望Visuality Systems等合作伙伴可以提供可信軟件。Visuality Systems希望清楚地證明，我們的解決方案經(jīng)過(guò)了嚴(yán)格的測(cè)試，以保護(hù)客戶(hù)的產(chǎn)品和應(yīng)用。”

Visuality Systems致力于開(kāi)發(fā) SMB 客戶(hù)端和基于服務(wù)器的解決方案，主要客戶(hù)包括消費(fèi)設(shè)備、航空航天和國(guó)防、汽車(chē)以及工業(yè)和醫(yī)療設(shè)備領(lǐng)域的行業(yè)領(lǐng)導(dǎo)者。 Visuality Systems的 NQ 產(chǎn)品線(xiàn)是當(dāng)今世界上最常用的商業(yè) SMB 解決方案。

Limor Segal-Shevah指出：“無(wú)論是打印機(jī)、家用電器、Java應(yīng)用程序、醫(yī)療設(shè)備還是汽車(chē)娛樂(lè)系統(tǒng)，我們的客戶(hù)創(chuàng)建了運(yùn)行在不同硬件和軟件上的各種軟件應(yīng)用，并且每個(gè)應(yīng)用都有特定的要求?！?/p>

Limor Segal-Shevah 補(bǔ)充道：“所有設(shè)備都需要網(wǎng)絡(luò)連接，因?yàn)樵诋?dāng)今世界，設(shè)備和應(yīng)用程序不能單獨(dú)運(yùn)作。許多應(yīng)用程序和嵌入式設(shè)備通過(guò)服務(wù)器消息塊或SMB協(xié)議(Windows系統(tǒng)的默認(rèn)標(biāo)準(zhǔn))與后端Windows系統(tǒng)進(jìn)行通信。網(wǎng)絡(luò)漏洞可以讓黑客有機(jī)會(huì)獲得機(jī)密信息或使用系統(tǒng)進(jìn)行攻擊?！?/p>

她說(shuō)：“軟件漏洞通常是編碼錯(cuò)誤的結(jié)果，惡意攻擊會(huì)利用代碼中的漏洞。Visuality Systems開(kāi)發(fā)人員需要主動(dòng)的檢測(cè)工具來(lái)發(fā)現(xiàn)他們編寫(xiě)的代碼中的漏洞，以降低風(fēng)險(xiǎn)?！?/p>

解決方案：新思科技Coverity 靜態(tài)應(yīng)用安全測(cè)試

Visuality Systems已經(jīng)在使用新思科技(Synopsys)的Defensics?模糊測(cè)試來(lái)識(shí)別運(yùn)行代碼中的漏洞，并在2019年添加了 Coverity?靜態(tài)應(yīng)用安全測(cè)試(SAST)，以幫助其開(kāi)發(fā)團(tuán)隊(duì)在軟件開(kāi)發(fā)生命周期的早期解決編碼漏洞。Coverity是一個(gè)快速、準(zhǔn)確和高度可擴(kuò)展的靜態(tài)分析解決方案，幫助開(kāi)發(fā)和安全團(tuán)隊(duì)處理安全和質(zhì)量漏洞，確保符合安全和編碼標(biāo)準(zhǔn)。

憑借Coverity 靜態(tài)應(yīng)用安全測(cè)試，Visuality Systems開(kāi)發(fā)人員可以在不中斷正常工作流程的情況下掃描代碼，以查找安全漏洞和質(zhì)量缺陷。 開(kāi)發(fā)人員可以通過(guò)選擇Coverity的快速桌面、增量或完整分析模式，來(lái)確定分析的速度和深度。快速桌面分析和增量分析可以幫助開(kāi)發(fā)人員在編碼時(shí)發(fā)現(xiàn)漏洞，這些漏洞最容易發(fā)現(xiàn)，也最容易修復(fù)。Coverity的完整分析模式與構(gòu)建/CI工具集成，如果缺陷違反了安全或質(zhì)量規(guī)定，則構(gòu)建失敗。DevOps團(tuán)隊(duì)可以根據(jù)不斷變化的需求來(lái)調(diào)整和管理代碼分析。

Coverity已集成到Visuality Systems的CI/CD流程中。公司使用Bitbucket和Jira Cloud為軟件團(tuán)隊(duì)管理他們的工作流程，并動(dòng)態(tài)顯示在pull-request構(gòu)建中發(fā)現(xiàn)的新問(wèn)題的信息。Coverity 通過(guò) Python 和 Jenkins CI 集成到構(gòu)建流程中。 編寫(xiě)的每一段代碼都由 Coverity 檢查，并且在 Coverity 通過(guò)之前不能合并到開(kāi)發(fā)的主分支中。 當(dāng)?shù)谝淮螜z測(cè)到漏洞時(shí)，負(fù)責(zé)的開(kāi)發(fā)人員會(huì)在 Slack bot 中收到失敗通知，修復(fù)問(wèn)題，然后將代碼推送到云端，從而觸發(fā)新的pull-request構(gòu)建。 循環(huán)往復(fù)，直到成功編寫(xiě)出安全、優(yōu)質(zhì)的代碼。

Limor Segal-Shevah贊賞道：“新思科技的Coverity 是一個(gè)強(qiáng)大的工具，可以幫助 Visuality Systems 不斷改進(jìn)產(chǎn)品，并最終編寫(xiě)出更優(yōu)質(zhì)、更安全的代碼?！?/p>

成效：更健壯的代碼，更高的客戶(hù)滿(mǎn)意度

Visuality Systems的代碼質(zhì)量和穩(wěn)定性都有所提高。Visuality Systems在軟件發(fā)布之前就已經(jīng)解決了代碼缺陷和漏洞問(wèn)題。而不是等到客戶(hù)發(fā)現(xiàn)了問(wèn)題，反饋至公司，然后來(lái)來(lái)回回進(jìn)行修復(fù)。在編碼開(kāi)發(fā)過(guò)程中解決安全和質(zhì)量缺陷，可以為客戶(hù)交付更健壯的代碼。

Limor Segal-Shevah表示：“在我看來(lái)，Coverity最出色的地方在于能提供全面的信息，并擁有過(guò)濾這些信息的能力，例如識(shí)別優(yōu)先級(jí)、風(fēng)險(xiǎn)和單個(gè)開(kāi)發(fā)人員所有者等。我可以只看最新版本中發(fā)現(xiàn)的新問(wèn)題；可以過(guò)濾掉我不需要的信息，只設(shè)置我想要的信息。非常便利。我們經(jīng)常使用過(guò)濾功能，每當(dāng)數(shù)據(jù)庫(kù)發(fā)生變化時(shí)，也會(huì)使用通知功能?！?/p>

###

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。