新版本CodeSonar6.0在DevOps开发过程中提供了更深入的SAST集成
近期,全球领先的应用程序安全测试产品和软件研究服务供应商GrammaTech发布了其CodeSonar®SAST(静态应用程序安全测试)产品的新版本,该产品帮助开发人员在不中断工作流程的情况下构建更安全、更可靠的代码。Codesonar6.0具有可视化和分析增强功能、GitLab集成以及500多个GrammaTech客户要求的多语言和编译器支持,以支持他们向DevSecOps实践的过渡。
“从根本上说,开发团队需参与培训,配备齐全,并积极进行安全开发(有时称为DevSecOps)。设计方法应该包括基本的编码标准,帮助开发人员避免开发带有可利用漏洞和可操作易攻击点的应用程序,”全球非营利组织SAFECode的执行董事Steve Lipner说,SAFECode汇集了商业领袖和技术专家,就创建、改进和促进可扩展以及有效的软件安全程序交换意见,交流想法。
Codesonar6.0中的新功能使开发人员能够通过自动检测问题更轻松地避免安全缺陷,并在开发环境中识别最好的违规行为实例。在持续集成/持续交付(CI/CD)的规划中提供嵌入式的SAST是将安全性转移到DevOps工作流中的一个关键组成部分。CodeSonar的几个最重要的增强功能包括:
1可视化
- 对选定代码进行集成可视化表示,以改进缺陷修复,无需单独的开发人员界面。
- 内置检测、警报和报告前10名OWASP风险。
2分析
- 增加了CWE(通用弱点枚举)漏洞的粒度,包括格式字符串类型检查,以促进开发人员与安全团队之间关于软件威胁的交流。
- 基于Android 11 的应用程序和基础操作环境的代码安全和质量测试,将CodeSonar 的安全保障延展到Android 平台。
3语言
- 在统一界面中对Java、C和C++开展测试,避免工作流程被打断。
- 内置检测、警报和报告前10名OWASP风险。
4编译器模型
- 更新了对GCC、IAR和Clang 10编译器的支持,以及增添对Arm Clang编译器支持。
GrammaTech的首席产品官Vince Arneja说:“从总体上看,我们的客户正从开发完成后测试转向将安全性作为其开发过程中不可或缺的一部分。”“CodeSonar的最新版本建立在我们强大的静态分析功能的基础上,以检测潜在的漏洞,同时使在促进开发的过程中集成应用程序安全测试变得非常容易,而不会中断或减慢开发人员的速度。”
可用性
CodeSonar 6.0可立即从GrammaTech及其全球业务合作伙伴处获得。欲了解更多信息或获得软件试用评估,请联系我我们的中国区合作伙伴旋极信息。
关于GrammaTech
GrammaTech是全球领先的应用程序安全测试解决方案提供商,世界上最具安全意识的组织都使用该解决方案来检测、测量、分析和解决他们开发或使用的软件的漏洞。该公司还是美国民用、国防和情报机构值得信赖的网络安全和人工智能研究合作伙伴。更多详情访问http://www.softtest.cn/show/42.html。
