Intelligent Orchestration解决方案可与CloudBees、GitHub及其它DevOps合作伙伴工具无缝集成,促进自动化安全测试工作流程
Intelligent Orchestration的概念和技术不断在完善,可以帮助负责 DevOps 交付和执行的所有关键角色从中受益,包括DevOps工程师、开发人员及AppSec主管等。
近日,新思科技(Synopsys)推出了Intelligent Orchestration解决方案——专门的应用安全自动化管道,优化速度和效率,可确保在正确的时间执行适当的安全测试。在2021年RSA信息安全大会上,新思科技宣布扩展其软件质量与安全部门的全球合作伙伴计划,启动技术联盟合作伙伴 (TAP) 计划,并展示了全新Intelligent Orchestration解决方案与技术合作伙伴工具(包括CloudBees 和GitHub Actions)之间的集成。
通过TAP计划,开发、DevOps和安全技术提供商可以与新思科技合作,将新思科技的安全和风险管理解决方案与其产品集成。这些集成使企业更便捷地在现有的DevOps工具链中构建自动化的应用安全控制。
Intelligent Orchestration具备以下功能和优点:
· 专用的“持续安全”管道
Intelligent Orchestration是专用的持续集成(CI)管道,可并行运行以构建和发布管道,执行必要的应用安全性测试。
· 与现有管道和开发工具链无缝集成
Intelligent Orchestration不需要重新构建和发布管道。相反,它可以通过简单的API调用轻松地与CI管道集成。此外,可扩展的DevOps集成使团队能够整合新思科技的工具以及开源和第三方工具执行的应用安全测试,并通过现有的开发、风险管理和问题跟踪工具交付结果。
· 确保在正确的时间运行适当的测试
团队可以将其应用安全策略定义为代码,指定用于安全分析、通知和修复的规则。然后,凭借创新技术,Intelligent Orchestration使用该策略来评估代码更改和其它软件开发生命周期(SDLC)事件,以智能方式触发适当的安全测试,通过仅在需要时执行所需的测试以将速度最大化。
· 向正确的团队提供适用的信息
Intelligent Orchestration在整个安全测试工具范围内优化和标准化了应用安全报告。结果将根据风险自动过滤并确定优先级,并直接在开发团队已经使用的开发和缺陷跟踪工具中交付,从而防止“漏洞超载”。
Intelligent Orchestration策略还可以通过缺陷跟踪系统和通信渠道触发手动安全活动,例如渗透测试,从而使安全团队能够协调安全合规性与开发工作流程。
新思科技软件质量与安全部门总经理Jason Schmitt表示:“每个拥抱DevOps的企业在将安全测试集成到其DevOps环境中,进行自动化时都会遇到些磨擦。在试图跟上不断加快的开发速度的同时,自动化整个产品组合中应用安全策略的实施并管理大量的安全测试结果是一项艰巨的任务。这正是Intelligent Orchestration能解决的问题。通过策略驱动的情报、自动化和广泛的集成,Intelligent Orchestration可以基于风险和持续迭代来简化安全测试程序。”
与CloudBees 和GitHub集成的Intelligent Orchestration解决方案突显了TAP计划为客户创造的价值。
GitHub业务拓展经理 Jose Palafox表示:“GitHub Actions帮助客户利用自动化将软件开发工作从构想快速推进到生产流程。安全测试在此过程中越来越重要,但需要无缝进行。通过‘智能安全扫描操作’,开发人员可以利用Intelligent Orchestration的功能以自动、快速地启动安全扫描。”
CloudBees策略副总裁 Anders Wallgren表示:“我们看到越来越多的客户希望将应用安全活动自动化,作为其CI/CD管道的一部分。但是,随着安全测试技术发展步伐的加快和数量激增,他们可能很难在不减缓生产速度的情况下管理不断涌现的漏洞。通过我们与新思科技的战略合作伙伴关系以及CloudBees和Intelligent Orchestration的集成,客户可以利用自动化和基于风险的智能应用在管道的适当阶段运行正确的测试,从而可以大大减少不必要的摩擦。”