【51CTO.com原創稿件】近年來，隨著新業務、新技術的快速發展，軟件安全缺陷層出不窮。雖然一般情況下，開發者基本都會有單元測試、每日構建、功能測試等環節來保證應用的可用性。但在安全缺陷方面，缺乏安全意識、技能和工具，最終導致了安全缺陷的出現。其中，靜態分析安全測試（SAST）作為一種最有效的工具，能夠在開發階段，而不是開發完成之后，探測出源碼中的安全漏洞，從而大大降低修復安全問題的成本。

日前，新思科技（Synopsys）推出靜態分析工具的最新版本——Coverity 2018.01。Coverity作為一款靜態應用安全測試工具，能夠通過分析代碼，查找出一些潛在的軟件質量、安全缺陷以及合規方面的問題。如今，SAST已經廣泛應用于各行各業的開發測試工作場景中，確保代碼的質量和安全，減少風險并降低整體項目成本。

作為全球第15大軟件公司，新思科技的主營業務是EDA，即集成電路自動設計的軟件。2014年，新思科技成立了Software Integrity Group（簡稱SIG，軟件質量與安全部門），專注做軟件質量與安全的測試環節，目前已在全世界范圍內有一千多名員工。

[[219893]]

新思科技軟件質量與安全部門 高級安全架構師 楊國梁

據新思科技軟件質量與安全部門高級安全架構師楊國梁介紹，Coverity核心技術源自于斯坦福大學的一個研究項目，后期逐漸轉化為一個商業化公司，提供目前業界最佳的SAST工具。

在Gartner、Forrester、 IDC和VDC權威機構的測評中，Synopsys的靜態分析工具被評定為領先的應用安全測試解決方案。

三大升級，滿足開發者安全測試所需

Coverity 2018.01擴展了對于新編程語言、編碼標準以及開發工具集成的支持，具體包括三大升級：

1、擴展的編程語言覆蓋范圍，新增支持Scala和VB.NET編程語言

即使企業擴展其軟件組合，采用新的語言、架構及技術，比如移動和微服務，Coverity也能幫助企業在應用程序中主動構建安全性和質量。每次發布新版本，新思科技都將持續擴大Coverity對新的編程語言的支持，同時加強對現有語言的安全分析。

Coverity 2018.01增加了對兩種新語言的支持：通常用于基于微服務的應用程序開發的Scala和VB.NET。這兩種語言能夠廣泛地應用在應用類的開發、Web應用類的開發以及大數據的處理方面。目前，Coverity支持的語言種類已達17種。

最新發布的Coverity還為Swift、 PHP、 Python、 JavaScript、 Java、 C#和 Node.js編程語言提供增強的安全分析。通過這些新增功能，Coverity支持用于構建嵌入式和企業級軟件的關鍵程序語言。

2、支持安全編碼標準，全面支持SEI CERT C編碼標準規則（2016 版）

最近，新思科技發布了首份CISO報告，總結分析了信息安全高管的工作模式以及公司變化對他們角色演變的影響。CISO（首席信息安全官）報告基于信息安全高管的工作模式不同分為四個截然不同的群體，并稱之為“部落”（Tribes）。報告重點討論了四個部落在執行安全計劃方面的不同之處。其中有一些CISO是由合規性驅動的，有一些是CISO是由安全本身驅動的。

在合規方面，各行各業面臨的規范、要求也不一樣。例如，銀行業可能會面臨PCI-DSS（支付卡行業數據安全標準）的要求，汽車行業會面臨MISRA規范等。基于此，Coverity幫助企業遵循編碼標準，提升關鍵嵌入軟件的安全性及可靠性。

隨著最新版本的發布，Coverity 2018.01全面支持SEI CERT C (2016 版) —— 安全編碼的行業標準。除了CERT C， Coverity也支持MISRA編碼標準的所有版本，并通過了ISO 26262認證。

3、與現代開發工具鏈的集成，增強Jenkins持續集成（CI）服務器插件，基于DevOps進行自動化測試

Coverity支持并集成許多常用的開發工具，以助力實現快速和自動化的開發工作流程。Coverity 2018.01為最新的集成開發環境（IDEs）提供插件，包括Visual Studio、 Eclipse、 IntelliJ和Android Studio等等。

為了優化安全測試，最新版本還借助Jenkins持續集成(CI)服務器，以支持開箱即用的集成。Coverity新的Jenkins插件進一步完善了Jenkins Pipeline工作流框架，可以按項目檢索發現問題，并增強了數據過濾功能。

安全和質量應成為研發的首要因素

回顧2017年，“WannaCry”勒索病毒在全球范圍內爆發，波及150多個國家和地區、10多萬的組織和機構以及30多萬網民，損失總計高達500多億人民幣。該事件的發生，讓我們深思，更加意識到如何防患于未然成為很關鍵的問題。

楊國梁表示，究其根本無非是兩個問題：一個是軟件有bug，導致它后續有一些惡意代碼；二是設計上有缺陷，導致它能夠利用成為后續的安全事件。

因此，對于企業來說，應把安全和質量的把控向研發開始階段的前面推。據統計，代碼存在bug和設計缺陷導致的問題各占一半左右。所以，企業要從設計需求分析伊始，就要加入安全方面的考量。盡可能使用SAST等各類安全測試工具，來確保軟件的安全性。

目前，敏捷研發、CI/CD、DevOps、微服務等趨勢都是在快速上線的要求下產生的新模式。但對于軟件安全來說，由于時間和精力所限，必然會在便捷性和安全性之間產生一定程度上的矛盾。

楊國梁表示，在這些新型開發模式下，也要做好相應的安全測試工作。例如，通過SDLC（軟件生命周期）的方法，每個開發人員寫出代碼之后，立刻檢查，構建的時候再合并檢查分析，就可以把問題馬上修復。

通過Coverity就可以快速的滿足這種開發需求。開發人員可以利用Coverity的IDE插件，在eclipse上寫完代碼，本地實時檢查，實時修改。Check in代碼之后，再做一輪檢查。通過這種無縫集成的流程可以確保遷移到DevOps或者CI/CD環境下，最大程度的確保軟件的質量和安全。

同時，對于不同規模的企業，他表示，無論大公司，還是小公司、創業公司都同樣重視安全。根據BSIMM（軟件安全成熟度模型）的評估結果，大公司從整個SDLC的不同階段，都會部署不同的工具，來保證軟件從設計到上線的整個階段都是安全的。因此，大公司才有可能在人力、物力、資源等方面，落實整個安全開發生命周期的模型。

而一些小型公司或者創業公司，雖然可能沒有CIO來建立一整套開發流程安全規范，但是也很注重安全。IT人員會根據對安全的重視程度，通過采購SAST工具、第三方或是開源工具的方式，保證軟件在研發階段的安全。

完成軟硬一體化轉型，實現全面覆蓋

通過從硬件到軟件的拓展，新思科技實現了軟硬一體化的轉型，從而能夠為客戶提供更加全面的解決方案。幫助客戶從設計到發布階段，采用多樣化的測試工具，通過“產品+咨詢服務”的組合，確保軟件在整個生命周期中的安全和質量。

新思科技的硬件和軟件部門會有很多客戶的重疊，不少硬件客戶也開始需要一些軟件服務。例如，汽車行業的客戶，在芯片設計過程中，會涉及到一些軟件產品的覆蓋，在此過程中，硬件部門會協同軟件部門密切合作共同服務客戶。

目前，德爾福、衛士通、通用汽車公司(GM)、Denso等都已經成為新思科技軟件部門的客戶，涵蓋電信設備、互聯網、移動端、物聯網嵌入式設備、金融、汽車等行業。

不同的行業會有不同的需求，新思科技也會不斷完善和更新產品功能。例如，互聯網行業對于新的語言跟進速度會比較快，在Coverity 2018.01版本中也新增了Scala和VB.NET編程語言的支持。嵌入式行業對C、C++有更多的要求，新版中也已經完全支持CERT C的安全編碼規范。

加快本土化發展，滿足中國市場需求

在產品本地化方面，Coverity兩個版本之前就已經推出漢化版本，所有界面和文檔都已經全部實現漢化，中國用戶已經可以完全打消語言方面的顧慮。

本地服務方面，新思科技持續加大對中國區的投入。目前，售前、售后及研發都已在中國區落地，有充足的技術資源確保中國客戶使用SIG的產品。去年，新思科技也在中國發布了最新版本的軟件安全構建成熟度模型——BSIMM8的漢化版。

中美兩國企業對于安全意識有何差異呢？楊國梁表示，美國一些公司已經開始逐漸接受內置安全（Build Security In）的概念，在研發階段就及早的引入SAST工具。

而目前國內，更多的企業更樂于接受一些滲透測試、第三方代碼檢測等。但是，也有一些安全意識領先的中國企業在研發早期階段就引入了SAST工具。

我們可以看到，越來越多的安全廠商都在針對中國市場提供本地化的產品，這也得益于中國乃至亞太地區企業的安全意識越來越強。新思科技也正在緊跟步伐，推出滿足中國市場的產品。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】