被權威獨立調研公司Gartner和Forrester評為“靜態應用安全測試領導者”的Coverity,於2018年6月再次發佈了最新版本—Coverity 201806。眾所周知,作為行業內領先的代碼缺陷檢查工具,火眼金睛的Coverity能夠在研發第一時間就找到潛在的、嚴重的質量問題或安全問題。
新思科技軟件質量與安全部門高級安全架構師楊國樑
那麼,新版Coverity又有哪些全新的特性和優勢?在2018年6月14日的小型媒體溝通會上,新思科技軟件質量與安全部門高級安全架構師楊國樑與我們分享了Coverity 201806令人振奮的三項新功能,它們在促進研發的敏捷性、確保安全性方面擁有重要價值。
一、無縫關聯新思科技全新的eLearning在線學習平臺。
楊國樑表示,eLearning是Synopsys的一個安全教學類平臺,能根據通用缺陷列表(CWEs,安全漏洞詞典)為開發人員提供上下文相關的應用安全課程,還能夠為開發人員提供匹配度最高的資料。它包含37種課程,覆蓋風險分析、認證、安全標準、面向網絡和移動應用的防禦性編程和安全測試策略等安全話題。憑藉該平臺,應用安全教育變得簡單、有的放矢且易於理解。
但原本eLearning和Coverity是兩個獨立的產品,那麼現在把它們關聯在一起有什麼好處呢?楊國樑強調,兩者關聯之後的好處就是強化了學習的結果。開發人員犯了錯誤之後,可以從Coverity界面輕鬆進入eLearning平臺,獲取簡練、針對性的培訓信息並實時的去學習。從而及早發現漏洞和進行修復,在軟件開發初期就避免失誤,防止高昂的返工成本以及不必要的延誤,節省工作流程和開發時間。
二、增強了幽靈安全漏洞檢查功能。
2018新年伊始,來自英特爾處理器的重大隱患——“幽靈”漏洞爆出,給互聯網、雲計算、物聯網及整個IT產業帶來恐慌。目前已知漏洞的根源是在CPU設計上,但如果採用硬件更迭的手段,需要較長的週期,所以現在的方案就是從軟件級別來規避會觸發漏洞的可能性。
楊國樑提到,新思科技是靜態分析行業首批針對幽靈安全漏洞攻擊提供源代碼級漏洞安全監測的廠商。Coverity 201806新增的增強型幽靈安全漏洞檢查功能,可以通過檢查工具,自動化快速識別易受攻擊的代碼,在寫代碼的過程中第一時間就規避重大問題,避免開發者通過耗時的代碼檢視來發現問題,更無需出現問題之後再發布補丁。
與此同時,使用了Coverity的幽靈漏洞檢查規則後,最大的好處就是儘可能不犧牲CPU的性能。而且,Coverity的檢查引擎可以方便地擴展未來的新模式,如果新模式會觸發CPU漏洞的話,還可以將其加入到檢查規則裡來豐富檢查的內容。
三、新增或更新對行業編碼標準的支持。
Coverity可以幫助用戶更快開發符合行業標準的應用程序,這對他們的業務發展至關重要。Coverity 201806現在已經可以支持OWASP Top 10 2017、CERT C++、MISRA C: 2012 TC1以及 DISA STIG。
以Cert C++2016為例,它是針對安全領域的規則,提供在C++編程語言中進行安全編碼的指導方針,共83條規則,目前Coverity 201806版本對所有83條規則全部都支持。
此外,Coverity 201806還新增或更新了對編碼語言和框架的支持,提升了安全分析能力,可以檢測到Python、Java和Swift應用的更多漏洞。以Python為例,現在已完全支持Python 3.x編譯器,並且支持Python2.x的web安全檢查以及Django框架和Flask框架的web安全檢查。
關於在中國市場的研發狀況
關於新思科技在中國的研發情況,楊國樑作了一番簡述。2012年,新思科技與武漢政府達成協議,在東湖高新技術開發區(也稱為中國光谷)設立研發和技術支持中心。目前擁有超過200名員工,其中有90%是研發工程師。Coverity相關的研發人員則有20多位,任務涵蓋編譯器配置、CERT C/C++ 安全編程規範以及AutoSAR汽車開放系統架構等,本次Coverity 201806的更新,他們也貢獻了重要力量。
楊國樑強調,對於新思科技而言,中國市場在亞太地區乃至全球的戰略規劃中日益重要。新思科技軟件質量與安全部門一直致力於提供全系列的管理和專業的服務、產品以及培訓。並根據客戶的具體需求量身定製,幫助他們更加迅速地構建安全、高質量的軟件。
閱讀更多 小熊上海 的文章
