Les fonctionnalités de Rapid Scan permettent une détection rapide et légère des vulnérabilités pour les codes propriétaires et open source. Rapid Scan est optimisé pour les premières étapes du développement, en particulier pour les applications cloud-native et les infrastructures en tant que code (IaC).
Si des tests de sécurité complets et approfondis sont essentiels pour gérer les risques lors des étapes ultérieures du cycle de vie du développement logiciel (SDLC), il est souvent trop long et trop coûteux d'effectuer des analyses complètes à chaque étape incrémentale des premières étapes du SDLC. Rapid Scan complète les activités conventionnelles de test de sécurité des applications en permettant aux équipes de développement d'effectuer des analyses SAST et SCA rapides à chaque vérification du code ou à la première étape de la construction sans les ralentir. Il permet aux développeurs de passer efficacement à l'étape suivante et empêche les problèmes de sécurité de se propager dans les étapes ultérieures du SDLC.
Jason Schmitt, directeur général de Synopsys Software Integrity Group, a déclaré : "L'une des caractéristiques du développement logiciel moderne est la décomposition de processus importants en tâches plus petites et plus faciles à gérer, qui peuvent être exécutées rapidement et simultanément de manière distribuée. Pour les organisations qui adoptent DevSecOps, les tests de sécurité des applications doivent suivre le mouvement. Avec Rapid Scan, les utilisateurs de Coverity et Black Duck peuvent exécuter des scans préventifs rapides pour détecter et éliminer les vulnérabilités de surface au fur et à mesure que leurs développeurs écrivent et livrent du code, et ils peuvent utiliser les mêmes solutions pour exécuter des scans approfondis plus tard dans le SDLC avant de déployer leurs applications."
Les nouvelles fonctionnalités comprennent :
- Coverity Rapid Scan. Les nouvelles fonctionnalités Rapid Scan de Coverity SAST permettent une analyse rapide de la sécurité du code propriétaire sur le poste de travail du développeur et dans les pipelines d'intégration continue (CI) tels que GitLab et GitHub Actions. Coverity Rapid Scan est optimisé pour les applications cloud-natives construites sur des cadres d'infrastructure en tant que code telles que Kubernetes, Terraform et CloudFormation, et des microservices tels que GraphQL, Kafka et Postman. Rapid Scan peut détecter rapidement bon nombre des faiblesses de sécurité les plus courantes, ainsi que les failles de configuration problématiques et les utilisations abusives des API.
- Black Duck Rapid Scan. Les fonctionnalités de Rapid Scan de Black Duck SCA permettent aux développeurs et aux responsables des versions d'effectuer une analyse rapide des dépendances afin de déterminer si l'un des composants open source de leur application viole les politiques de sécurité et de licence de leur organisation avant de fusionner le code dans les branches de la version. Black Duck Rapid Scan est optimisé pour la vitesse et l'efficacité en fournissant aux développeurs un aperçu précoce du risque de dépendance et en reportant les activités SCA gourmandes en ressources, telles que la détection des sources ouvertes multifactorielles et la génération d'une nomenclature logicielle complète, à des étapes ultérieures du SDLC.
- Intelligent Orchestration et Rapid Scan. Les fonctionnalités de Rapid Scan de Coverity et Black Duck peuvent être utilisées conjointement avec la solution Intelligent Orchestration de Synopsys pour déclencher automatiquement des scans rapides SAST et SCA en fonction des événements survenant dans le pipeline d'intégration continue (CI). La solution Intelligent Orchestration, qui permet aux équipes DevOps d'exécuter les bons tests de sécurité au bon moment, peut tirer parti de Rapid Scan aux premiers stades du pipeline lorsque la vitesse et l'efficacité sont essentielles, et elle peut exécuter des scans complets Coverity et Black Duck à des stades ultérieurs du pipeline pour valider la qualité et la sécurité des applications avant leur déploiement.
À propos du Synopsys Software Integrity Group
Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, en minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys fournit des solutions d'analyse statique, d'analyse de la composition des logiciels et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Grâce à une combinaison d'outils, de services et d'expertise, Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel.
À propos de Synopsys
Synopsys, Inc. est une société du S&P 500, spécialiste de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et offre un large portefeuille d'outils et de services de test de sécurité des applications dans le secteur.
Source : Synopsys
Et vous ?
Que pensez-vous des fonctionnalités Rapid Scan dans les solutions Coverity SAST et Black Duck SCA ?
Voir aussi :
Lancement d'Intelligent Orchestration, un nouvel outil permet aux développeurs d'automatiser les tests de sécurité, par Synopsys Software Integrity Group
Les logiciels de mauvaise qualité coûteraient plus de 2000 milliards de dollars aux entreprises, selon un rapport du CISQ pour les USA
L'adoption des DevSecOps se poursuit dans le monde entier malgré les problèmes de sécurité, d'après une étude menée conjointement par Synospys, centre de recherche sur la cybersécurité, et Censuswide