DaoCloud道客博客
“软件正在吞噬世界” 的巨浪还在蔓延,“世界的一切源于开源” 的风声仍在呼号。在 “云原生” 逐渐走向这场变革的中心,成为数字时代最大机遇的今天,企业软件规模逐渐庞大、软件架构日益复杂,传统的代码审计与测试手段正遭受着严峻的考验。为从代码源头持续提供安全保障,作为云原生领域的创新领导者,「DaoCloud 道客」联合代码安全分析领域的佼佼者蜚语安全,推出云原生代码安全分析平台联合解决方案,通过新一代的代码分析技术,有力支撑研发团队在高频率的产品迭代压力下,保证软件的质量与安全性。
拥抱云原生,拒绝安全短板
随着云原生在各行业业务场景中的应用逐渐深入,其思维方式也在从单点技术思维发展成为系统性的产业思维,并逐渐覆盖到业务基础设施、应用、数据、安全等方面,以满足企业全面的数字化转型需求。
云原生代码安全分析平台联合解决方案,基于「DaoCloud Enterprise 云原生应用云平台」结合蜚语 Corax 静态代码安全分析平台,将自动化代码安全扫描技术嵌入到开发 IDE、持续构建、持续集成的阶段,在代码测试发布之前,就知悉自研代码与开源代码的安全水位,快速感知,快速修复,确保软件运行安全。同时结合容器化、智能调度、扩缩容等技术,满足企业内部不断变得更加敏捷的开发和部署需求。
开源技术供应链安全检测和防护,是守护代码质量安全的第一线。随着容器、微服务、注册中心等开源新技术被广泛应用,自研代码的质量缺陷与安全问题、开源组件供应链上下游被注入的恶意代码、开源组件自身的潜在漏洞等安全风险不容忽视。如何及时发现源代码安全隐患,并快速同步到安全中心和研发中心,使其研发的业务应用提交到生产环境之前,有足够的时间采取防护措施?使用该联合解决方案,可定期扫描自研代码与开源组件供应链代码,评估研发项目的整体安全情况,并在扫描时快速、便捷的创建任务,提高扫描效率,降低结果的等待时间。
保障安全的同时,不能阻碍产品的快速价值交付。随着企业开发模式逐步走向 DevOps,虽然开发、测试、发布的流程缩短,但开源组件、源代码漏洞的修复周期却没有变短。开发部门和安全部门之间存在“跨部门沟通周期比较长”、“漏洞定位不清晰”、“业务快速上线需求和安全保障需求冲突”等问题。如何无侵入地将安全防御思维贯穿到整个软件开发和运维运营阶段,建立 DevSecOps 体系?通过该联合解决方案能够离线执行所有分析操作,不会为服务器带来额外的性能负担,对目标程序和平台形态没有限制,非常适合嵌入到 DevOps 流程中;并且也可以和其他的左移开发安全类产品进行协同使用,对于已经开始 SDL/DevSecOps 体系建设的企业,可以作为原有分析能力的有力补充。
降本增效也是该联合解决方案的一大亮点。其通过容器标准化加资源隔离技术,使扫描任务能够按需调配计算、存储等资源,用更低的成本提高检查效率,使得业务开发能够高效识别安全风险。此外,其还拥有比传统工具更优秀的漏洞分析误报率和漏报率,能够减少研发人员使用 SAST 类产品时的额外工作,提升 DevSecOps 的效率。
当前,云原生项目呈爆炸式增长,工程师们仍处在跟上云原生发展步伐的阶段,安全性往往处在次要地位,但安全是云原生迈向成熟的必经之路。2023 年将是企业深思熟虑地应对云原生安全问题的一年。未来,「DaoCloud 道客」和蜚语安全将充分发挥各自领域的技术优势,不断探索源代码与应用安全的新场景和新边界,为企业提供长期稳定的云原生软件安全和质量的技术支持。
热门推荐
未经允许不得转载:DaoCloud道客博客 » 携手蜚语安全共创云原生代码安全分析平台联合解决方案
