新思科技Coverity静态分析解决方案，提升软件安全和扫描效率

新思科技(Synopsys)在Forrester Wave™发布的《2021年第一季度静态应用安全测试》报告中被评为领导者。在12家被评估的供应商中，新思科技Coverity静态分析解决方案在“现有产品”类别中获得最高分，并且在“策略”类别中名列前三。多年来，全球许多企业都采用Coverity，以降低安全风险、确保应用程序灵活性，并迅速向市场提供新功能。Cryptsoft是其中一家。

Cryptsoft背景介绍

澳大利亚安全公司Cryptsoft提供用于安全系统设计、部署、验证和互操作性的软件开发工具。它的产品包括OASIS密钥管理互操作性协议(KMIP)、OASIS公钥密码标准＃11 (PKCS＃11)和智能卡解决方案。

挑战：增加和改善安全性，以DevOps的速度进行扫描

随着企业将其开发实践快速发展为精简而敏捷的DevOps方法，能够适应并跟上开发速度和复杂性的工具至关重要。具体来说，这些工具必须无缝集成到现有管道中，而不能“破坏构建”或降低开发速度。

Cryptsoft的软件产品在业界广受赞誉，提供准确高效的安全扫描。因此，任何集成到其软件开发生命周期(SDLC)管道中的安全解决方案都必须能够充分保持开发速度。

Cryptsoft创始人兼首席技术官Tim Hudson表示：“Cryptsoft的客户中有很多知名的科技公司，他们的综合期望很高。Cryptsoft为密钥管理系统和硬件安全模块提供软件，我们必须使用所有可能的工具来提高代码质量、安全性及稳定性。”

这项需求关乎巨大的利益，同时开发速度需要不断提升，因此，Cryptsoft寻求可以保持并扩展其DevOps需求的静态应用安全测试(SAST)解决方案。

Tim Hudson表示，客户会对产品进行间歇性扫描，Cryptsoft需要先他们一步发现潜在风险。为了满足这一要求，必须使用功能强大的SAST工具，以便能够更快地发现漏洞，并且不会减慢CI（持续集成）流程。

解决方案：新思科技应用安全测试工具

Cryptsoft采用了新思科技Coverity® SAST 解决方案，提升开发速度及软件质量与安全。

Coverity是一种快速、准确且高度可扩展的静态分析解决方案，可帮助开发和安全团队在SDLC早期解决安全和质量缺陷，追踪和管理整个应用组合中的风险，并确保符合安全和编码标准。

Tim Hudson介绍道：“Coverity静态应用安全测试解决方案帮助Cryptsoft提前发现并修复漏洞。在客户查询发现的风险是漏洞还是误报时，也可以更快地获得响应。Coverity覆盖范围广，是目前市场上最有效的静态代码分析工具之一。Coverity要检测的代码范围越来越广，但是误报率仍然保持一致，在同类产品中脱颖而出。”

Tim Hudson说：“如果没有Coverity这类的工具，那么开发大型系统就像玩俄罗斯转盘一样，在赌运气，这不是我们想要的。凭借Coverity，开发人员可以确保手动检查过程中没有遗漏，有助于我们做出明智的决定。”

效果：扫描反馈快速、精准，无缝集成

Cryptsoft想要将Coverity最新版本引入其构建流程，而且希望操作相对简单。

Tim Hudson赞赏道：“效果超出我们预期。我们将Coverity集成到构建过程中，在收到软件的同一天就可以对扫描结果进行分类。”

要与DevOps兼容，易于集成很关键。如果不能无缝集成到现有管道中可能会破坏开发活动。借助Coverity，Cryptsoft的工作可以不间断，Coverity能在同一天启动并运行。此外，Coverity可以为Cryptsoft提供快速、可靠的扫描结果。 

Tim Hudson补充说：“开发人员能够从持续集成环境中获得即时反馈，意味着Coverity贯穿整个开发过程，而不是在开发周期结束时才使用。这使我们能够确定和调整软件开发期间可能存在的问题结构，进一步减少了误报。当在难以测试的环境中检测到潜在漏洞时，所有可能的代码路径中的静态代码分析带来很大的好处，帮助我们为客户交付更强大的软件。”