新思科技静态应用安全测试帮助 Cryptsoft 公司提高软件安全和质量水平

新思科技(Synopsys)在 Forrester Wave™发布的《2021年第一季度静态应用安全测试》报告中被评为领导者。在 12 家被评估的供应商中，新思科技Coverity静态分析解决方案在“现有产品”类别中获得最高分，并且在“策略”类别中名列前三。多年来，全球许多企业都采用 Coverity，以降低安全风险、确保应用程序灵活性，并迅速向市场提供新功能。Cryptsoft 是其中一家。

Cryptsoft 背景介绍

澳大利亚安全公司 Cryptsoft 提供用于安全系统设计、部署、验证和互操作性的软件开发工具。它的产品包括 OASIS 密钥管理互操作性协议(KMIP)、OASIS 公钥密码标准＃11 (PKCS＃11)和智能卡解决方案。

挑战：增加和改善安全性，以 DevOps 的速度进行扫描

随着企业将其开发实践快速发展为精简而敏捷的 DevOps 方法，能够适应并跟上开发速度和复杂性的工具至关重要。具体来说，这些工具必须无缝集成到现有管道中，而不能“破坏构建”或降低开发速度。

Cryptsoft 的软件产品在业界广受赞誉，提供准确高效的安全扫描。因此，任何集成到其软件开发生命周期(SDLC)管道中的安全解决方案都必须能够充分保持开发速度。

Cryptsoft 创始人兼首席技术官 Tim Hudson 表示：“Cryptsoft 的客户中有很多知名的科技公司，他们的综合期望很高。Cryptsoft 为密钥管理系统和硬件安全模块提供软件，我们必须使用所有可能的工具来提高代码质量、安全性及稳定性。”

这项需求关乎巨大的利益，同时开发速度需要不断提升，因此，Cryptsoft 寻求可以保持并扩展其 DevOps 需求的静态应用安全测试(SAST)解决方案。

Tim Hudson 表示，客户会对产品进行间歇性扫描，Cryptsoft 需要先他们一步发现潜在风险。为了满足这一要求，必须使用功能强大的 SAST 工具，以便能够更快地发现漏洞，并且不会减慢 CI（持续集成）流程。

解决方案：新思科技应用安全测试工具

Cryptsoft 采用了新思科技Coverity® SAST 解决方案，提升开发速度及软件质量与安全。

Coverity是一种快速、准确且高度可扩展的静态分析解决方案，可帮助开发和安全团队在 SDLC 早期解决安全和质量缺陷，追踪和管理整个应用组合中的风险，并确保符合安全和编码标准。

Tim Hudson 介绍道：“Coverity 静态应用安全测试解决方案帮助 Cryptsoft 提前发现并修复漏洞。在客户查询发现的风险是漏洞还是误报时，也可以更快地获得响应。Coverity 覆盖范围广，是目前市场上最有效的静态代码分析工具之一。Coverity 要检测的代码范围越来越广，但是误报率仍然保持一致，在同类产品中脱颖而出。”

Tim Hudson 说：“如果没有 Coverity 这类的工具，那么开发大型系统就像玩俄罗斯转盘一样，在赌运气，这不是我们想要的。凭借 Coverity，开发人员可以确保手动检查过程中没有遗漏，有助于我们做出明智的决定。”

效果：扫描反馈快速、精准，无缝集成

Cryptsoft 想要将 Coverity 最新版本引入其构建流程，而且希望操作相对简单。

Tim Hudson 赞赏道：“效果超出我们预期。我们将 Coverity 集成到构建过程中，在收到软件的同一天就可以对扫描结果进行分类。”

要与 DevOps 兼容，易于集成很关键。如果不能无缝集成到现有管道中可能会破坏开发活动。借助 Coverity，Cryptsoft 的工作可以不间断，Coverity 能在同一天启动并运行。此外，Coverity 可以为 Cryptsoft 提供快速、可靠的扫描结果。

Tim Hudson 补充说：“开发人员能够从持续集成环境中获得即时反馈，意味着 Coverity 贯穿整个开发过程，而不是在开发周期结束时才使用。这使我们能够确定和调整软件开发期间可能存在的问题结构，进一步减少了误报。当在难以测试的环境中检测到潜在漏洞时，所有可能的代码路径中的静态代码分析带来很大的好处，帮助我们为客户交付更强大的软件。”

凭借Coverity SAST，Cryptsoft 的产品拥有可靠的安全性，表现出色，进一步巩固了其领先的行业地位。