作為全球第15大軟件公司，新思科技(Synopsys)公司是眾多創(chuàng)新型公司的 Silicon to Software（"芯片到軟件"）合作伙伴，這些公司致力于開發(fā)我們日常所依賴的電子產品和軟件應用。新思科技幫助研發(fā)人員構建安全、高質量的軟件，降低風險的同時提升速度及生產力。新思科技是應用安全領域公認的佼佼者，提供靜態(tài)分析、軟件組成分析、動態(tài)分析解決方案，幫助研發(fā)團隊更快地找到專有代碼、開源組件及應用程序行為中的漏洞和缺陷，并修復它們。通過結合行業(yè)領先的工具、服務和專業(yè)知識，新思科技可以幫助企業(yè)優(yōu)化DevSecOps和整個軟件開發(fā)生命周期中的安全和質量。

　　在數(shù)字經濟時代，軟件驅動創(chuàng)新。因此，管理軟件風險對于保障業(yè)務運營和盈利至關重要。日前，在新思科技舉辦的線上媒體交流會上，新思科技中國區(qū)軟件應用安全技術總監(jiān)楊國梁與大家分享了新思科技最新推出的Code Sight插件標準版，并與大家就如何能夠幫助企業(yè)更好地適應DevSecOps的轉型，以更快的速度幫助企業(yè)交付更加可信和更加安全的軟件進行了溝通交流。

　　新思科技中國區(qū)軟件應用安全技術總監(jiān) 楊國梁

　　楊國梁畢業(yè)于瑞典皇家理工學院，獲得碩士學位。他曾在科諾康(Codenomicon)出任安全工程師，由此開啟專注于信息安全的職業(yè)生涯。

　　在科諾康任職期間，楊國梁幫助企業(yè)客戶發(fā)現(xiàn)和修復其基于軟件的產品和系統(tǒng)的關鍵安全漏洞。他專注于電信、工業(yè)控制系統(tǒng)、汽車、醫(yī)療器械及物聯(lián)網等領域。

　　楊國梁現(xiàn)在帶領新思科技中國安全技術團隊，幫助客戶在軟件開發(fā)生命周期及供應鏈方面建立更完善的安全和質量體系。

　　目前在生活中所接觸到的各行各業(yè)或者說方方面面，其實和軟件已經產生了直接的關聯(lián)，甚至所有的這些軟件已經成為國計民生日常生活必不可少的部分。楊國梁舉例說：F-22戰(zhàn)斗機用到大約170萬行軟件代碼,相比現(xiàn)如今的豪華轎車則包含近1億行軟件代碼；為了支持每天超過400萬次構建，在谷歌的系統(tǒng)中每天運行超過5億次測試。現(xiàn)階段的所有的軟件行業(yè)或者說各行各業(yè)，其實都是在面臨一個非常快速的發(fā)展，隨之代碼也在跟著急劇膨脹。

　　對于這些問題，楊國梁做了這樣的表述：“代碼更多，測試頻率更快是軟件開發(fā)的重要趨勢。如何在開發(fā)周期的初始階段就發(fā)現(xiàn)并解決問題，更好地適應云原生和DevSecOps轉型，正變得日益迫切。新思科技(Synopsys)最新推出的Code Sight標準版，正好可以應對這些挑戰(zhàn)。”

　　在中國，隨著數(shù)字化轉型步伐加速，軟件開發(fā)的速度也需要跟上。如果在編寫代碼的時候就能內置安全性，軟件開發(fā)也將提速，也能提升安全性。為此，新思科技(Synopsys)全面推出 Code Sight 標準版，這是適用于集成開發(fā)環(huán)境 (IDE) 的 Code Sight 插件的獨立版本，使開發(fā)人員在提交代碼前就能夠快速查找和修復源代碼、開源依賴項、基礎架構即代碼等文件中的安全缺陷。

　　楊國梁表示，Code Sight插件，其實可以說是給開發(fā)人員提供了一種“神兵利器”，能夠讓他們在開發(fā)的第一時間就規(guī)避一些潛在的安全問題。

　　Code Sight其實就是一個安全左移非常好的實踐，據介紹，Code Sight在編寫代碼的時候就能將安全內置，查找并關注代碼中的安全缺陷；識別易受攻擊的開源依賴項；通過自動修復更快地解決問題以及編寫更好的代碼并避免安全問題。

　　從另外一個角度說，安全左移最好的規(guī)避時間點，就是在開發(fā)的同時，第一時間在寫的同時，就能夠把安全問題給指出來，避免把這些安全問題在第一時間寫到代碼里面，或者引入到代碼里面。Code Sight其實解決的就是這樣一個問題。

　　楊國梁介紹說：通過在IDE應用市場的下載和安裝，我們集成了Coverity，就是新思科技的靜態(tài)應用安全測試的工具以及Black Duck軟件組成分析工具，將里面的一些Rapid Scan快速掃描的功能集成到Code Sight的插件上，在研發(fā)人員寫下這一行的代碼，打開和保存的同時就觸發(fā)分析，讓開發(fā)人員在第一時間就能夠享受到安全帶來的一些便利。

　　從幾年前就在強調安全左移的概念，但最近兩年其實看到隨著云化的部署和其他各種各樣的部署形式，隨著云原生等等開展，隨著在DevOps的開展，可能單純地左移不一定能夠解決安全問題了。在整個開發(fā)運營的各個環(huán)節(jié)，各個階段都有相應的安全活動需要開展，楊國梁展開道。

　　現(xiàn)在整個行業(yè)都在做數(shù)字化轉型，其實數(shù)字化轉型過程中的重中之重就是確保軟件可信。如何能夠更加快速地構建可信安全的軟件，以有效地管理業(yè)務風險？新思科技總結了以下三點：

　　首先，保護軟件供應鏈安全，使用全面的AST工具，檢測專有代碼、OSS/第三方依賴項、應用程序行為和部署配置中的安全性、質量和合規(guī)性問題。

　　其次，將安全性納入DevOps，借助智能AST編排和關聯(lián)，幫助團隊保持DevOps速度，并將修復重點放在對業(yè)務最關鍵的問題上。

　　最后，建立全面的應用安全項目，這使人員、流程和技術保持一致，以解決整個企業(yè)和應用生命周期所有階段的安全風險。

　　楊國梁總結道：從流程的角度來看，Code Sight能夠補充并且改進應用安全測試效率，讓開發(fā)團隊更有效的貫徹“安全左移”。采用Code Sight 標準版，開發(fā)人員在編碼時就能修復安全缺陷，減輕了下游安全測試的負載，也避免了在開發(fā)人員已經執(zhí)行其它任務時才發(fā)現(xiàn)之前的代碼缺陷和漏洞，最大限度地減少了代價高昂的返工，更快地發(fā)布更高質量的軟件。

　　正如新思科技軟件質量與安全部門總經理Jason Schmitt所言：在現(xiàn)代軟件開發(fā)中，“速度為王”，并且軟件風險等同于業(yè)務風險。這就意味著開發(fā)人員肩負重任，需要確保軟件安全和公司業(yè)務安全。Code Sight插件嵌入了市場領先的開源和代碼分析技術，根據開發(fā)人員的速度要求進行了優(yōu)化，并且可以直接集成在他們正在使用的工具中，不愧為開發(fā)人員的“神兵利器”。