提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
原创|行业资讯|编辑:李燕|2020-03-24 09:26:38.127|阅读 1165 次
概述:软件组成分析SCA何时能够取代SAST和DAST?这个问题没有看起来的这么简单。为了节省你的时间,我建议做更多有意义的事情,比如运行静态应用程序安全测试(Static Application Security Testing,SAST)和动态应用程序安全测试(Dynamic Application Security Testing,DAST),专注于强化代码,而不是尝试在应用程序中测试安全性。
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
相关链接:
Parasoft C++test帮助团队写出更好的代码,实施更有效的测试,以及持续地监视以实现质量目标。 C++test 可以进行静态分析,全面代码审查,运行时错误检测,并在单元测试和组件测试中集成覆盖率分析。这些能够在开发周期的开始阶段,在开发桌面上自动完成。C++Test能够在桌面的IDE环境或命令行的批处理下进行回归测试,为监测和分析质量趋势提供数据。此外, C++test 与 Parasoft 的 Concerto 结合在一起, 提供基于 Web 交互式的仪表板,具有细分能力的 Concerto 使团队能够通过 C++test 的结果以及其它关键进度指标来把握项目状态和趋势。
软件组成分析SCA何时能够取代SAST和DAST?这个问题没有看起来的这么简单。为了节省你的时间,我建议做更多有意义的事情,比如运行静态应用程序安全测试(Static Application Security Testing,SAST)和动态应用程序安全测试(Dynamic Application Security Testing,DAST),专注于强化代码,而不是尝试在应用程序中测试安全性。
听起来有点像标题党?或许吧。但是每次出现新技术或者技术出现新发展的时候,都会有人认为技术迭代是必然的。因为软件组成分析(Software Composition Analysis, SCA)能够解决软件安全问题,节省开发和测试时间,甚至可以消除世界上的饥饿感。好吧,我表现得越来越像在说个人脱口秀,其实我只是想夸张地表达新技术在部分人中眼里的作用。但因此说SCA最终就能取代SAST,本质上就像在说因为你查找了别人代码中的bug,所以不再需要检查自己代码中的bug一样。
从理论上讲,软件组成分析与软件材料清单(software bill-of-materials,目前几乎不存在的东西)紧密联系,并持续跟踪应用程序中使用的其他库和组件。目前,这方面的工具大多只是扫描应用程序中的开源组件,而不一定会和材料清单一起使用。(注:部分工具还可以执行其他功能,例如从OOS项目中查找剪切片段,或者识别管理OOS许可证问题。虽然这两者既有趣又重要,但是仍然不能完全替代SAST)检查应用程序中的组件是否存在已知bug是SCA的一项主要功能。其重要的地方在于你可以因此避免0DAY漏洞,也可以解决因为某些组件找不到源而无法使用SAST技术分析的问题。
首先我必须强调,SCA是工具包中用于保护软件安全系统的重要部分。开放Web应用安全项目(the Open Web Application Security Project,OWASP)——一个主流的实用的安全组织,甚至将这一概念加入到当今流行的OWASP十大最重要安全隐患的名单之中。这个项目就是A9-使用有已知漏洞的组件。当然如果你没有接触过OWASP,我仍然建议你使用SCA。如果你还没有针对CVE和NVD数据库检查应用程序是否存在已知漏洞,同样建议你使用SCA。这种技术可以跟踪实际发生的攻击以及可用的补救程序和其他补救措施。
OWASP甚至出了一个叫OWASP Dependency Check的工具,可以为你完成这项工作。跟OWASP提供的所有工具一样,这个工具也是免费的。Dependency-Check是一款分析软件组成的应用程序,可以识别项目依赖并检查是否存在已知的、已公布的漏洞。
不可否认,直到不久之前,软件供应链一直是人们忽略的主题。而现在,一些关键人物(其中部分来自软件和供应链保障论坛(Software and Supply Chain Assurance Forum,SSCA))呼吁大家关注应用程序安全领域的这一弱点,希望大家不仅专注于代码,也要关注供应链。实际上,由美国国防部(DoD)、国土安全部(DHS)、总务管理局(GSA)和美国国家标准与技术研究院(NIST)主办的SSCA论坛以前称为软件保障论坛(SwA),为了提高对供应链的关注,他们更改了论坛名称。不过他们的目的是提高大家对供应链的关注度,而并不是将对自己代码的关注转移到他人的代码上。
这个软件和供应链保障论坛(SSCA)为政府、行业以及来自世界各地的学者提供了平台。人们可以在论坛上分享他们相关的知识和经验,内容包括软件和工具链风险、高效实践和减灾战略、工具和技术以及任何关于别人不知道的相关人员、流程或技术方面的主题。
实际上,SCA是一项测试实践——确保能够根据表单(例如已知的像NVD这样的漏洞)检查你的应用程序,并确保修改通过。与之相对,SAST主要关注的不是测试功能,而是工程功能。SAST最基本的价值在于进行事前测试之前发现缺陷或者漏洞。而它最大的价值在于从一开始引导你提高代码的质量,构建没有泄露问题的代码。这是目前在应用程序安全领域提前检测出代码质量缺陷的唯一方法。如果想做得更完美,你仍然需要SCA,因为你依旧会遇到关于应用程序中所有组件以及与其他程序交互相关或者操作系统本身的问题。即使你SCA实践得不错,你依然需要SAST。因为如果你只应用了SCA,你可能只解决了别人代码中的问题,但是没有对自己的代码做任何事情。SCA与SAST的目的是相辅相成,不能互相替的。
总而言之,SCA技术非常棒,我们确实需要它。我很高兴它受到越来越多的关注。但是说它将代替DAST或者SAST,就好比说你有个锤子,就不需要螺丝或者起子了一样。
Parasoft C / C ++ test 10.4.3版本发布!更强的单元测试框架
功能安全标准支持者Parasoft助您实现合规性,消除开发安全漏洞
静态分析和编码标准合规性助力自动驾驶汽车ISO 26262认证成功
Parasoft加入汽车工业软件可靠性协会,共同开发集成MISRA / AUTOSAR编码准则
想要了解Parasoft、Parasoft SOAtest、Parasoft Virtualize更多信息或资源的朋友,请
与联系,以了解如何在组织中部署Parasoft的自动化软件测试解决方案。
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@pclwef.cn
通过提供强大的3D CAD数据访问工具并适用于桌面、移动和Web的高级环境3D可视化发动机,HOOPS在提升造船设计和制造流程的效率方面发挥了重要作用。
HOOPS Luminate在汽车行业中的应用具有广泛的潜力和深远的影响。它通过提供高效的3D可视化、虚拟装配与拆解、性能分析、客户定制等功能,帮助汽车制造商在设计、生产和销售过程中提升效率、降低成本并提高产品质量。
在不断发展的软件开发世界中,使工具和框架与最新的平台版本保持同步至关重要,欢迎查阅~
全球航运业对国际贸易至关重要,全球 90% 以上的商品通过海运运输。准确监控和控制这些集装箱的移动对于维持高效的供应链至关重要。手动输入集装箱号码是这一程序的关键部分,它带来了相当大的挑战,例如人为错误和效率低下。
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@pclwef.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢