被权威独立调研公司Gartner和Forrester评为“静态应用安全测试领导者”的Coverity,于2018年6月再次发布了最新版本—Coverity 201806。众所周知,作为行业内领先的代码缺陷检查工具,火眼金睛的Coverity能够在研发第一时间就找到潜在的、严重的质量问题或安全问题。
新思科技软件质量与安全部门高级安全架构师杨国梁
那么,新版Coverity又有哪些全新的特性和优势?在2018年6月14日的小型媒体沟通会上,新思科技软件质量与安全部门高级安全架构师杨国梁与我们分享了Coverity 201806令人振奋的三项新功能,它们在促进研发的敏捷性、确保安全性方面拥有重要价值。
一、无缝关联新思科技全新的eLearning在线学习平台。
杨国梁表示,eLearning是Synopsys的一个安全教学类平台,能根据通用缺陷列表(CWEs,安全漏洞词典)为开发人员提供上下文相关的应用安全课程,还能够为开发人员提供匹配度最高的资料。它包含37种课程,覆盖风险分析、认证、安全标准、面向网络和移动应用的防御性编程和安全测试策略等安全话题。凭借该平台,应用安全教育变得简单、有的放矢且易于理解。
但原本eLearning和Coverity是两个独立的产品,那么现在把它们关联在一起有什么好处呢?杨国梁强调,两者关联之后的好处就是强化了学习的结果。开发人员犯了错误之后,可以从Coverity界面轻松进入eLearning平台,获取简练、针对性的培训信息并实时的去学习。从而及早发现漏洞和进行修复,在软件开发初期就避免失误,防止高昂的返工成本以及不必要的延误,节省工作流程和开发时间。
二、增强了幽灵安全漏洞检查功能。
2018新年伊始,来自英特尔处理器的重大隐患——“幽灵”漏洞爆出,给互联网、云计算、物联网及整个IT产业带来恐慌。目前已知漏洞的根源是在CPU设计上,但如果采用硬件更迭的手段,需要较长的周期,所以现在的方案就是从软件级别来规避会触发漏洞的可能性。
杨国梁提到,新思科技是静态分析行业首批针对幽灵安全漏洞攻击提供源代码级漏洞安全监测的厂商。Coverity 201806新增的增强型幽灵安全漏洞检查功能,可以通过检查工具,自动化快速识别易受攻击的代码,在写代码的过程中第一时间就规避重大问题,避免开发者通过耗时的代码检视来发现问题,更无需出现问题之后再发布补丁。
与此同时,使用了Coverity的幽灵漏洞检查规则后,最大的好处就是尽可能不牺牲CPU的性能。而且,Coverity的检查引擎可以方便地扩展未来的新模式,如果新模式会触发CPU漏洞的话,还可以将其加入到检查规则里来丰富检查的内容。
三、新增或更新对行业编码标准的支持。
Coverity可以帮助用户更快开发符合行业标准的应用程序,这对他们的业务发展至关重要。Coverity 201806现在已经可以支持OWASP Top 10 2017、CERT C++、MISRA C: 2012 TC1以及 DISA STIG。
以Cert C++2016为例,它是针对安全领域的规则,提供在C++编程语言中进行安全编码的指导方针,共83条规则,目前Coverity 201806版本对所有83条规则全部都支持。
此外,Coverity 201806还新增或更新了对编码语言和框架的支持,提升了安全分析能力,可以检测到Python、Java和Swift应用的更多漏洞。以Python为例,现在已完全支持Python 3.x编译器,并且支持Python2.x的web安全检查以及Django框架和Flask框架的web安全检查。
关于在中国市场的研发状况
关于新思科技在中国的研发情况,杨国梁作了一番简述。2012年,新思科技与武汉政府达成协议,在东湖高新技术开发区(也称为中国光谷)设立研发和技术支持中心。目前拥有超过200名员工,其中有90%是研发工程师。Coverity相关的研发人员则有20多位,任务涵盖编译器配置、CERT C/C++ 安全编程规范以及AutoSAR汽车开放系统架构等,本次Coverity 201806的更新,他们也贡献了重要力量。
杨国梁强调,对于新思科技而言,中国市场在亚太地区乃至全球的战略规划中日益重要。新思科技软件质量与安全部门一直致力于提供全系列的管理和专业的服务、产品以及培训。并根据客户的具体需求量身定制,帮助他们更加迅速地构建安全、高质量的软件。
閱讀更多 小熊上海 的文章
