用于DevSecOps持续软件保障的Iron Bank

原创|行业资讯|编辑:张莹心|2021-09-28 11:25:14.900|阅读 100 次

概述: "Iron Bank "是一个授权、加固和认证的最佳软件开发工具和能力容器的中央库房,旨在降低国防部软件项目中DevSecOps解决方案的使用门槛。Iron Bank资源库将同时容纳自由和开放源码(FOSS)以及商业现成(COTS)的软件开发工具。

# 31款JAVA开发必备控件和工具 # 热门开发工具JetBrains系列产品限时优惠中>>

DevSecOps已经获得了相当大的动力,它是将安全测试作为持续集成和持续部署/交付(CI/CD)流程的一部分进行正式和整合的事实流程。通过将安全集成到CI/CD流程中,企业可以自动进行安全测试,并在每次开发人员提交时触发,避免作为一个门控流程的延迟或在最后附加。

CI/CD是现代软件开发的核心,企业意识到需要将CI/CD管道实例化,以实现软件交付过程的自动化和简化。

国防部实现软件开发的现代化

美国国防部(DoD)意识到现代软件开发的转变,正在进行数字化转型,以提高支持作战人员和现场操作的任务敏捷性。每隔三到十年交付一次软件能力,这使得我们无法跟上技术的步伐。因此,国防部发起了一项企业DevSecOps倡议,以实现其软件交付方式的现代化和转型。

启动企业DevSecOps倡议

该倡议由几个部分组成,旨在加强软件安全,改善基础设施能力,简化IT流程,并使合规流程现代化,以实现国防部范围内的持续运营授权。

作为国防部企业DevSecOps倡议的一部分,创建了一个授权、加固和认证的最佳软件开发工具和能力容器的中央库房。这个被称为 "Iron Bank "的中央存储库旨在降低国防部软件项目中DevSecOps解决方案的使用门槛。

鉴于最近发生的SolarWinds漏洞事件中,CI/CD工具链和DevSecOps管道受到越来越多的威胁,国防部希望利用Iron Bank加快DevSecOps的采用,以确保所有国防部软件项目的软件交付过程。

Iron Bank资源库将同时容纳自由和开放源码(FOSS)以及商业现成(COTS)的软件开发工具。Iron Bank中的容器将根据该机构的容器加固指南进行加固,以便在整个国防部范围内实现跨分类的互惠。

Iron Bank的Parasoft SAST

国防部的软件项目可以利用Parasoft C/C++test为其CI/CD管道和工具链提供动力,Parasoft C/C++test是最完整的C和C++静态应用安全测试(SAST)解决方案,它利用综合分析技术(基于模式的分析、数据流分析和抽象解释)来暴露通常导致网络攻击的关键漏洞。

它目前以dockerfile的形式托管在Iron Bank的GitHub上,目的是作为C/C++编译器工具链的基础镜像。标准版和专业版都可以帮助国防部的软件项目正式确定SAST和单元测试能力,作为其软件测试的一部分。Parasoft认识到,开发、部署和持续改进软件的能力对国防至关重要。

Parasoft C/C++测试是嵌入式软件开发的理想选择,可以帮助执行和验证安全和质量合规标准,如通用弱点列举(CWE)、CERT安全编码标准、MISRA和AUTOSAR等,以及DISA STIG和OWASP的合规验证。

用于DevSecOps持续软件保障的Iron Bank

不断增长的嵌入式市场

最近的研究表明,军事(国防)嵌入式系统市场规模预计将从2020年的14亿增长到2025年的21亿,2020年至2025年的年复合增长率为8.3%。

Parasoft意识到这一不断增长的需求,并承诺投入大量资源,以确保我们的C/CC++test SAST解决方案能够被容器化,以满足国防部的加固和安全标准。这为Parasoft提供了一个独特的机会,使其能够与国防部的软件项目合作,实现其数字化转型的任务目标,并使软件开发实践现代化,以快速提供有保障的软件安全。

为您的DevSecOps建立Iron Bank

容器化Parasoft SAST解决方案为国防部软件项目提供了以下好处:

在CI/CD管道中对开发人员提交的代码变更进行自动安全测试,以保持与软件交付节奏同步。

提供将安全和合规性整合到DevOps工具和工作流程中的能力,以执行安全和合规性标准,帮助告知风险管理决策。

通过补救工作流程分析、详细的发现报告、代码覆盖细节和报告分析,帮助改善开发人员和安全团队之间的合作,以确定什么是最重要的。

通过提供对安全测试中发现的风险和指标的实时可见性,支持持续运营授权(cATO)活动。这可用于扩大国防部软件项目的互惠性,以加速和告知cATO活动。

提供深入的分析反馈,整合到开发人员的工作中。


Parasoft——领先的自动化测试工具,满足绝大多数行业标准

Parasoft是一家专门提供软件测试解决方案的公司,帮助企业打造无缺陷的软件。

从开发到质量检查,Parasoft的技术通过集成静态和运行时分析,单元、功能和API测试,以及服务虚拟化,在不牺牲质量和安全性的情况下加快软件交付,节约交付成本。

强大的报告和分析功能可帮助用户快速查明有风险的代码区域,并了解新代码更改如何影响其软件质量,而突破性的技术将人工智能和机器学习添加到软件测试中,使组织更容易采用和扩展跨开发和测试团队的有效的软件测试实践。

Parasoft针对C/C++、Java、.NET和嵌入式的开发测试都有着30多年的深入研究,很多全国500强企业使用Parasoft的产品实现了软件快速、高质量的交付。

申请Parasoft测试试用


标签:

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至hey@evget.com


为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
在线咨询
联系我们

客服热线
023-68661681

QQ客服

意见反馈


添加微信获专业服务

TOP
在线客服系统
live chat