新思科技 BlackDuck 帮助 Avira 软件公司在保持 DevOps 速度的同时提升开源安全

新思科技(Synopsys)近日发布了 《2020年DevSecOps实践和开源管理报告》 ，探讨了全球企业用于解决开源漏洞管理的策略以及日益严重的商业代码中过时或弃用的开源组件问题。超过一半（51%）的受访者表示他们需要两至三周的时间来应用开源补丁。部分受访者采用手动的操作流程来管理开源，这些可能会拖慢开发和运营团队的速度。企业需要一套自动化的开源管理方案，更加高效地提升开源安全。

Avira 背景介绍

自 1986 年以来，Avira Operations GmbH＆Co. KG 提供安全、私密、性能出色的软件组合，在同类产品中脱颖而出。Avira 是一家跨国计算机软件公司，开发用于台式机、移动设备和智能家居的产品，提供免费升级及高级版本。

挑战：保证 DevOps 速度，确保开源软件安全

开源软件已成为常态，在技​​术和非技术公司中都很常见。如今，开源已成为每个行业几乎所有应用程序的基础。尽管开源的普及和采用量激增，企业通常仍然无法有效地管理其安全性。

新思科技(Synopsys)每年都会发布《开源安全性和风险分析报告》，洞悉开源安全性、合规性和代码质量风险的当前状态。2020年报告发现，在经过审核的 1,253 个应用中，有 99％包含开源代码，而这些代码库中有 75％包含漏洞。显然，这显示了开源代码的优势以及缺乏开源代码漏洞管理。

开源安全的需求日益增长。随着企业转向敏捷的 DevOps 开发周期，安全解决方案必须能够充分扩展并保持同步。

Avira 等企业想要提供行业领先的软件产品，就必须使用安全可靠的代码。因此，他们必须将强大的安全解决方案纳入其软件开发生命周期中，以便充分管理开源。

Avira 信息安全官 Marian Schneider 指出，Avira DevOps 流程中的关键挑战包括：产品复杂性不断增加、市场法规增加以及需要替代手动流程。这些挑战驱使 Avira 寻求一种跟上其 DevOps 需求并保持其规模的开源安全解决方案。

Marian Schneider 表示：“从 DevOps 方面来看，开源安全变得越来越重要，Avira 开始在市场上寻找集成到 DevOps 管道中的工具。”

解决方案：新思科技应用安全测试工具

Avira 采用了新思科技 BlackDuck®软件组成分析(SCA)解决方案来帮助保护其开源资源，并确保安全措施不会减慢开发速度。 Black Duck 是一种全面的 SCA 解决方案，用于管理在应用程序和容器中使用开源的安全性、许可证合规性和代码质量风险。

为了扩展 DevOps 渠道和产品套件，Avira 大规模采用了 Black Duck。所有开发团队在所有 Avira 产品中都部署 Black Duck，并且经常进行扫描。Avira 在每个主版本发布和/或构建中都启用 Black Duck。

当被问及为何 Avira 选择 Black Duck SCA 时，Marian Schneider 解释道：“摘要扫描（合规端）、安全信息以及从 DevOps 端集成到 DevOps 流程中。 Black Duck 概念验证表明，它发现并显示了问题，提供 Avira 所需的信息。”

效果：简化安全工作，加强沟通

Marian Schneider 表示：“安全是一种权利，而不是特权。所有客户都有获得安全软件的权利，而不是专属于某些人或者产品。”

在实施 Black Duck 之前，Avira 的开源风险是通过两种方式进行管理的：通过 Confluence 和 Jira 处理许可证，并使用基于文档化的第三方库自定义 Python 脚本处理通用漏洞披露(CVE)。这些脱节和孤立的流程无法扩展或与 Avira 的 DevOps 管道保持同步。Avira 需要一个能够保持开发速度的综合解决方案。

Marian Schneider 指出，部署 Black Duck 给 Avira 带来许多好处，其中最重要的是在 DevOps 中增加了自动化流程和集成工具。

她说：“现在，开源的安全性和合规性已深深地嵌入到开发过程中，而不是由合规性团队进行管理。”

Marian Schneider 发现 Black Duck 提供了更高的可扩展性，消除了对手动操作的需求，并且提升员工对开源代码安全重要性的整体意识。而且，Black Duck 带来了意想不到的好处：“随着意识的增强，开发人员与法律部门之间的交流增加了”。

凭借 Black Duck SCA，Avira 确保了开源安全，其产品拥有可靠的安全性，表现出色，进一步巩固了其领先的行业地位。