提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
原创|行业资讯|编辑:郑恭琳|2020-06-24 11:40:17.603|阅读 200 次
概述:作为Parasoft产品副总裁,我的工作是确保我们为客户简化此工作。这是什么意思?首先,这意味着自动化安全控制和策略的左移,以帮助我们的客户在管道中建立安全性,同时减少DevSecOps的影响和风险。你是怎么做到的?在下面阅读更多内容,以了解如何缓解将安全性集成到DevOps中的传统挑战。
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
相关链接:
如今,DevSecOps的大多数问题都回到了组织,他们试图通过在产品周期结束时添加测试来“修复”安全性,希望能够抓住一些关键漏洞。在本文中,学习如何通过有效策略将安全测试转移到支持DevSecOps的最早开发阶段来解决这一问题。
在上一篇文章中,我讨论了SecDevOps以及为什么它比常用的DevSecOps更好。安全性通常在发布产品之前作为附加程序或门控流程保留,但是当产品半途而废时,很难解决安全性问题。如成功将SecDevOps中的安全性向左移(更常见的名称DevSecOps并不暗示)一样。安全性必须成为每个开发人员日常工作流程的一部分,并且必须集成到软件管道中。
作为Parasoft产品副总裁,我的工作是确保我们为客户简化此工作。这是什么意思?首先,这意味着自动化安全控制和策略的左移,以帮助我们的客户在管道中建立安全性,同时减少DevSecOps的影响和风险。你是怎么做到的?在下面阅读更多内容,以了解如何缓解将安全性集成到DevOps中的传统挑战。然后,我们将检查DevSecOps工作流程,该工作流程已成功将安全性向左移动(应为左移)。
如今,DevSecOps的大多数问题都回到了组织,他们试图通过在产品周期结束时添加测试来“修复”安全性,希望能够抓住一些关键漏洞。以下是发生这种情况的原因和原因,以及如何使用更智能的安全方法解决它们。
挑战:很难知道如何“修复”安全性
大多数开发人员和测试人员还不是安全专家(尚未!),因此,当不清楚要做什么时,要在开发的后期阶段“修复”安全性是一个很高的要求。
解决方案:逐步提高安全性
相反,团队可以使用集中化策略(例如安全编码标准和针对常见漏洞的静态分析检查)来逐步改善整个开发生命周期中的安全性。另外,安全工具可以为开发人员和测试人员提供有关漏洞存在的原因,如何利用漏洞以及最终将其删除和测试的指南。使用Parasoft的静态分析工具,您可以轻松地基于行业安全的编码标准(即CWE,OWASP,CERT,UL 2900)定义集中式策略。还内置了文档、示例和嵌入式培训,以使整个团队可以继续学习下一步的工作。
挑战:周期末安全测试导致生产中的延迟和漏洞
试图将鞋拔的安全性变成几乎完整的产品的通用方法是不够的。太多的漏洞正在进入生产代码。
解决方案:将安全性分析集成到开发的最早阶段
相反,可以将安全性纳入日常开发和运营中。开发人员应该能够直接在IDE内部执行分析,从而将安全合规性转移到开发的早期阶段。Parasoft工具与构建过程集成在一起,并提供CI插件以验证漏洞不在CI管道之外。收集的数据存储在每个构建的基础上,可用于报表和分析仪表板。
挑战:直到最后一刻,项目安全风险的状态未知
由于缺乏任何类型的漏洞评估,因此在进行某种测试之前,项目具有完全未知的安全风险。完成后期周期测试后,发现的安全漏洞往往会导致后期周期变更和返工。尽管在最后一刻做出了英勇的努力,但许多安全漏洞仍将其传递给客户。
解决方案:持续监视软件质量和安全性
为了实现优先级划分和课程更正,实时合规性报告应提供易于访问的仪表板,并具有数据的顶级和深入了解。Parasoft通过高度可定制的安全仪表板消除了安全监督的开销,这些仪表板是交互式的,可以从任何位置访问,并且可以针对任何用户进行设计,从开发人员到团队领导再到上级经理。
如果您了解上述挑战并且已准备好上手,则首先将测试工具集成到现有开发工作流程中。这是每日采用和从投资中获得最大投资回报的关键。让我们看看如何将Parasoft工具集成到典型的CI/CD管道中,以及如何利用它们在DevOps中“左移”安全性。
在这里,您可以看到工作流中的前提交和后提交,以及在将代码提交到源存储库之前和之后的代码分析。在签入代码之前帮助开发人员提高质量和安全性是“左移”的重要优势。我们的工具从此处开始,然后在检入、构建和部署代码之后继续提供帮助。
预提交工作流程:
提交后的工作流程:
大多数软件团队都知道交付高质量代码的需求,而不管其当前过程的成熟程度如何。利用现有的心态来提高安全性,您可以将安全性要求、控件和标准交织在一起,作为现有质量改进过程的一部分。在仪表板级别,实时查看安全法规遵从性,并能够根据突出显示的关注区域深入研究问题区域,有助于安全性成为日常质量管理的一部分。
重要的是在开发生命周期中尽早确定安全的优先级,以“左移”执行安全标准和良好实践,并成功实现DevSecOps。为此,您需要一个易于开发且易于采用的过程来在开发人员编写代码后立即检测并消除漏洞。Parasoft的实时、可自定义的分析和报告仪表板向团队负责人和安全专家提供有关项目状态,对选定标准的遵守情况以及最关注的确切问题的即时反馈,以便整个组织可以了解风险。
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@cahobeh.cn
通过提供强大的3D CAD数据访问工具并适用于桌面、移动和Web的高级环境3D可视化发动机,HOOPS在提升造船设计和制造流程的效率方面发挥了重要作用。
HOOPS Luminate在汽车行业中的应用具有广泛的潜力和深远的影响。它通过提供高效的3D可视化、虚拟装配与拆解、性能分析、客户定制等功能,帮助汽车制造商在设计、生产和销售过程中提升效率、降低成本并提高产品质量。
在不断发展的软件开发世界中,使工具和框架与最新的平台版本保持同步至关重要,欢迎查阅~
全球航运业对国际贸易至关重要,全球 90% 以上的商品通过海运运输。准确监控和控制这些集装箱的移动对于维持高效的供应链至关重要。手动输入集装箱号码是这一程序的关键部分,它带来了相当大的挑战,例如人为错误和效率低下。
针对 C/C++ 软件开发提供统一、完全集成的测试解决方案。
Parasoft Jtest用于应用软件开发的集成Java测试工具
Parasoft dotTEST降低C#和VB.NET开发风险,有效地实现符合C#和.NET开发的测试工具的要求
Parasoft Insure++针对C和C++应用程序的运行时内存泄漏检测和内存调试
Parasoft SOAtest人工智能和机器学习赋能 API 和 Web 服务测试
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@cahobeh.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢