快捷搜索:  后门  木马  网络  CVE  渗透  VPN  扫描  黑客

WitAwards 2017“年度创新产品”参评巡礼 | 从新思科技谈AST市场现状 - |

我们刚看到 Synopsys(新思科技)参评 WIT 时照样略感诧异的,因为 Synopsys 这家公司在 EDA(电子设计自动化)领域可算是环球的排头兵。目前环球范围内最著名的半导体企业,包括晶圆工厂以及从事物理设计的 Fabless 半导体厂商,如 Intel、高通、台积电、三星、AMD 等大多都是 Synopsys 的客户。这家公司在 IC 数字前端、数字后端以及签核(Signoff)方面都经验无比丰富,而这些可以称得上电子科技行业科技含量最高的领域之一了,在“硅工”业内也算是无人不晓的一家公司。

举个简单的例子,要是你对挪移行业颇关注,应该还记得 2015 年三星领先用上 14nm FinFET SoC,所以 Exynos 7420 成为那时尽对率先高通骁龙 810 的一代产品,而且三星首次在制程方面超越台积电。而三星的第一颗 14nm FinFET 流片(2012 年),就是三星以及 Synopsys 合作杀青的。Synopsys 针对嵌入式存储、物理设计、寄生撷取、时序阐发以及签核提供了综合解决方案[1]。这类层面的合作通常都会持续数年,再譬如近期 Synopsys 才实现了针对台积电 7nm 制程的 DesignWare Foundation 以及 Interface PHY IP 试产,包括 logic libraries、嵌入式存储、嵌入式测试与修复、USB 3.1/2.0、DDR4/3 等[2]。即便是以及高通如许的 Fabless 厂商,Synopsys 与其也有合作:虽然高通没有晶圆建造工厂,但也从事物理设计——虽然台积电代工的一波 20nm SoC 在高通历史上算是至关失败,但也是与 Synopsys 合作的产物。

从 Synopsys 公布的 2017 财年 Q3 财报来看,这家公司 2017Q3 收益为 6.964 亿美元,相比上一财年同期增进 13.0%;净利润 1.168 亿美元,客岁同期为 6472 万美元[3]。从财报各项数据来看,这家公司的成长都算是至关健康。在云云高新科技领域算是如鱼得水了,无非半导体行业很早就已经步入成熟期了,而且以及安全的关联并不大,参评 WIT 年度创新产品的意思是?

synopsys-full-1-1.jpg

Synopsys 的 Software Integrity 团队高级副总裁 Andreas Kuehlmann 曾经说过:

“Synopsys 的成长战略三大支柱:处于领导位置的 EDA、成长中的 IP(授权营业),和软件应用质量与安全。”[4]

所以我们要谈的是 Synopsys 的应用质量与安全平台营业:或许在本文开头,我们可以将这个营业更明确地表述为 Application Security Testing(AST)应用安全测试。可惜我们没有渠道了解 Synopsys 现如今三大营业的收益构成,所以无法切当阐发,应用质量与安全测试营业在 Synopsys 的布局中大约是若何的份额。但随安全行业本身大趋向的上涨,和应用安全测试领域的突起,AST 是个尽对的高增进行业,而且是当前安全行业增进最快的——这以及 Synopsys 起身的半导体行业如今已经进入成熟期形成了至关鲜明的对比。可以预见,AST 未来真正会成为 Synopsys 营业中的一大“支柱”。

有趣的是,这家公司的 SLOGON 为 “Silicon to software”,早年这里的 “software” 生怕主若是指电子设计自动化工具,而现在则明确扩大到了应用安全领域。这篇文章中,我们会尝试就 Synopsys 的应用质量与安全平台以及产品,谈一谈 AST 领域本身。

安全行业中的增速之最:AST 市场

要是材料手艺短期内没有突破性发铺,摩尔定律实质上的失效让半导体行业的发铺空间越来越小,这多是 Synopsys 寻求新营业增进点的一个缘故起因。而应用安全测试市场的一大驱动力在于,企业构造遭受的安全事故越来越多,且大部分都在应用层面,这促使企业构造不得不在应用安全测试中加大投入。此外,数据安全的强制性合规、公有云的普及,和复杂威胁数量增多,都在促进应用安全测试市场的扩铺。这一市场的别的推动力还包括新一代威胁情报解决方案的发铺,BYOD(Bring Your Own Device)的流行等。

Gartner 在《2017 应用安全测试魔力象限》讲演中提到[5],在其调查中,67% 的受访者表示在 2019 年年尾前,自动化与集成应用测试采用率的增进,会排在其症结安全策略的前三位。从 2015 年以后,针对应用层面的持续入侵,和企业应用的增进,都造成了应用安全需求的增进。

预计应用安全测试市场始终到 2020 年都会有 14.2% 的年复合增进率,这是 Gartner 所调查全部信息安全行业中增进率最高的领域——环球全部信息安全市场到 2020 年预计的年复合增进率为 7.8%。估计 2016 年应用安全测试市场规模已经达到了 7.19 亿美元。

Web-Software-Security.jpg

Research and Markets 给出的一组数据这里供参考[6],2015 年应用安全市场中最大规模的 web 应用安全解决方案市场规模约为 17.5 亿美元(统计机构间存在数据悬殊)——web 应用安全市场增进趋向未来可能会下降,而挪移应用安全解决方案从 2016 年到 2025 年的年复合增进率会达到 25.9%。预计到 2025 年,环球应用安全市场规模将会达到 107 亿美元——仅 DAST(动态应用安全测试)市场规模就会超过 40 亿美元。

那么应用安全测试(下列将简称为“AST”)市场事实是怎么样定义的呢?Gartner 对其定义为针对安全缺点进行阐发以及测试的产品以及服务,买家以及卖家构成了这一市场[5]。Gartner 认为 AST 产品与服务首要有三种形态,分别为:

- SAST(静态 AST),针对安全缺点,阐发某个应用的源码、字节码或二进制代码,首要位于 SDLC(软件开发性命周期)的编程以及/或测试阶段;

- DAST(动态 AST),在测试或运营阶段,在动态运行状态下对应用进行阐发;这类方式会针对应用(典型的 web 应用以及服务)进行攻击摹拟,并阐发应用的响应来确定是否存在安全缺点;

- IAST(交互 AST),对运行应用进行由内而外的监测观察,同时配合 DAST。典型实施方案为在测试运行时环境内作为一个前言(agent)存在(如 JVM 或 .NET CLR),从应用内部观察运行或攻击,识别安全缺点。

实际上,SAST 以及 DAST 更直白可理解为白盒与黑盒测试。而 IAST 是在运行应用内部获守信息,包括运行时要求、数据流、控制流、库和连接,来发现安全问题。这三种方案是各有优劣的,譬如 SAST 通常没法发现运行时和与环境相干的问题(在 API、web 服务或者 REST 端点上运行某个静态工具,是没法发现其上的问题的),而 DAST 更多应用在 SDLC 周期末尾,天真性不够,且成本偏高。所以 SAST 以及 DAST 经常需要同时部署。

IAST 一般被认为是为解决 SAST 以及 DAST 两者短板而生的[8],在应用内部放个 agent,在应用中进行实时阐发,可在开发流程 IDE、持续集成环境、QA 甚至已发行产品等种种地位应用。IAST 能够对全部 App 的代码进行阐发,包括运行时控制与数据流信息、设置信息、HTTP 要求和响应;库、框架与别的组件;后端连接信息。(此处没有加入 RASP 的考量,多是在于 RASP 更像是安全工具,而非测试工具,但 Gartner 在讲演中提到,提供 RASP 的供应商对于其魔力象限排名会有加成。)

shutterstock_329824547.jpg

值得一提的是,还有一些机构扩铺了 AST 的范围,譬如 Transparency Market Research 将挪移 AST(Mobile Application Security Testing)也作为 AST 的组成部分[7]。顾名思义也就是针对挪移 App 的安全测试产品以及服务,如 Synopsys 就提供 MAST 服务,预计来岁 Gartner 也会将这部分纳入到魔力象限的考察范围内——这实在也表现出 AST 市场的新生形态。

而说到 IAST,就不得不谈这部分市场还有个更为重要的趋向。我们先前所推的《2017 金融行业应用安全态势讲演》以及《2017 年度挪移 App 安全漏洞与数据泄露现状讲演》实际上都属于 AST 领域的关注范畴。谈论 AST,关注安全的同人若干都可以说出个一二三,譬如渗透排泄测试、模胡测试,都可针对企业应用进行。无非如渗透排泄测试这种 DAST 方案,很多情形下是将安全置于营业流程靠后地位的安全解决方案,即便它是有用的,却也有缺点。这两份讲演同时提到一个话题,即安全应当融入到开发甚至营业之中去,而不应割裂。后一篇讲演还详尽到应用开发的每一个环节,包括规划、设计、研发、测试等。

在某些特其它领域,譬如医疗 IoT 设备领域,要是不能践行这类将安全融入到开发每一个环节中去的绳尺,将安全与开发割裂开来,终极需要承担的成本是没法估量的。表现到企业应用中,最直观的丧失就是数据泄露。

敏捷型(Agile)开发,和 DevOps 的实践,其本质就是更快以及更具弹性的开发方式,这对融入营业流程中的安全测试也就提出了更高的请求,安全也不应该成为拖累应用延后发布的缘故起因(或者说不应该存在已经发行的应用包含已知安全漏洞的情形)。如上所述,IAST 在特性上就具有融入 Agile(和 CI/CD 持续集成持续部署)开发方式的特点。这就是现代企业应用开发的趋向,应用安全测试方案能否投合如许的趋向,是企业客户对这种产品接受度的重要考量身分。

Synopsys 并购形成的闭环:不光是 AST

AST 市场的重要参与者包括了 Cigital、IBM、HPE、Veracode、Trustwave,还有国内的绿盟(NSFocus)等等。其中的 Cigital 可以算是 SAST 产品的始祖(1999 年发布的 ITS4[9]),这家公司早在 1992 年景立之际就获患了 DARPA 的资助。Cigital 曾构建比较知名的 BSIMM(Build Security in Maturity Model),这是个软件安全衡量框架,用于评估其当前状态衡量软件安全实施(SSI)有用性的方案。

而 Synopsys 原本作为一家电子设计自动化提供商,从其发铺历程来看,入主 AST 领域的首要方式就是并购。2016 年,Synopsys 收购了 Cigital[10],同时到手的还有 Codiscope。Cigital 的工具以及 IP 因此融入到了 Synopsys 的软件开发方案中。如上面提到的 BSIMM 如今就是 Synopsys 布局安全软件开发的其中一环。

QQ20171108-023228@2x.png

就安全开发的角度来看,对 Cigital 的收购几乎标志着 Synopsys 实现了全部软件安全与质量平台的收敛——或者说形成了全系列产品,这一套解决方案并不单纯只是 AST——所以我们会发现 WIT 评比中 Synopsys 的产品有“质量”以及“平台”二字,而不止是安全,虽然安全还是核心。这全套方案的形成还真有点儿其 EDA 领域血统的传承,因为在 EDA 领域,虽仍有其他竞争对手(譬如 Cadence、Mentor),且彼此各有所长,Synopsys 仍旧为芯片建造商提供全套方案以及服务。

这实在相符企业安全市场大趋向做闭环的作风(虽然 Synopsys 的全系产品是软件安全开发,或许称作闭环还不够切当),毕竟企业客户都不希翼增添内部 IT 结构的复杂性,多个供应商的情形已经让企业很头疼了。所以 Synopsys 大致指望达到的目标就是,要做软件开发吗?质量以及安全都找我吧。即便很多情形下,大部分企业仍旧不会选择将资源押宝在一家供应商身上。

从 Synopsys 的官网首页不难发现,其目前第三大营业就是“软件安全与质量”,口号是“给你的 SDLC 以及供应链注入安全与质量”,给这部分营业起名鸣“Software Integrity”,恕我们无力以准确的中文还原这个营销概念,无非它所代表的就是软件安全 + 软件质量。这家公司的中文官网也没有翻译这一概念,而将其统回为“应用安全以及软件安全解决方案及产品”,我们认为这个总结还不够到位。来看一看其软件质量+安全产品布局事实长什么样:

QQ20171108-023158@2x.jpg

这个 Software Integrity 平台包括四个组成部分,分别是产品、托管服务、程序设计与开发、专业服务。这里的“产品”以及“托管服务”首要就针对 AST,而程序设计以及开发,和专业服务部分,则更专注于指导客户怎么样将安全融入到开发流程中,譬如 CI/CD 部分就是在客户的持续集成持续部署开发工作流中注入其安全产品以及服务方案;软件架构与设计(Software Architecture & Design)则着力于设计中的软件安全问题,加强架构安全;还有像软件测试优化(Test Advisor)亦属于为企业提供定制的解决方案了。

此外值得一提的是产品布局外圈有个“Training”培训,这是 Synopsys 为开发者提供的安全培训,包括软件安全课程(从 web 与挪移应用测试到防御式程序设计)、Synopsys 的产品使用培训,还有一款轻量级的静态阐发工具 SecureAssist(编程过程中自动检测一般应用漏洞,这也是收购 Cigital 以后得到的一款产品)。培训课程有引导式的私家课程,也有自学的在线课程。所有这些形成了 Software Integrity 平台,其中代码“质量”以及“安全”存在密不可分的关系,用 Synopsys 本人的话来说:

“Secure code is synonymous with quality code.”

在谈产品之前,有必要说一说 Synopsys 在这一平台搭建的历史上,并非仅收购了 Cigital 这一家公司。毕竟仅 Cigital 也很难形成闭环。

Synopsys 公司发铺历程上的一大传统就是通过大批收购来获得手艺[11]:1986 年这家美国公司成立以后,从 1994 年就最先了每年多次的收购交易,仅 2006 年一年 Synopsys 就收购了最少 8 家公司,无非前期都是为其 EDA 及 IP 授权营业服务的。2015 年 4 月 20 日,Synopsys 宣告收购 Codenomicon 应该是这家公司真正注重 Software Integrity 平台的起头。Codenomicon 就是那家最早发现有名的“心脏滴血”漏洞的公司[12]——这家公司专攻的领域在解决嵌入芯片以及设备软件中的安全问题。

Synopsys 现如今的 Defensics 模胡测试工具就来自 Codenomicon。而后者的 SCA 软件构成阐发也融入到了 Coverity 平台——也就是 Synopsys 现在的静态阐发。SCA 软件构成阐发的首要价值在于缩小软件中第三方以及开源组件的安全危害,SCA 实在是应用安全测试的重要加分项,现在也算是 Synopsys 的拳头产品,下一个段落还会对此进行先容。

相干软件质量与安全开发的首要收购举动还包括,Synopsys 于 2015 年 5 月宣告收购 Quotium 的 Seeker 产品(和 Seeker 的研发团队)——这对 Synopsys 而言也具备了重大意义,因为 Seeker 是一款 IAST 产品,弥补企业市场的 web 应用安全需求[4]。有关 IAST 是什么的问题,前文已经说得比较明确,所以对 Seeker 的收购应该说极大补足了 Synopsys 的产品全线布局空缺,毕竟 IAST 是完成安全测试手艺快速融入 SDLC 的重要产品类别。

dublin-outside.jpg

同年 11 月,Synopsys 宣告收购 Protecode[13]。这家公司所做的是检测以及治理开源软件以及相应证书与安全危害解决方案。说简单点,本次收购是为 Synopsys 的 SCA 软件构成阐发提供进一步加成。毕竟开源软件以及第三方组件普遍应用于软件开发,这些组成部分实在也是重要的安全隐患地点,所以保持全部软件供应链的可视性以及危害治理,就是 Protecode 的核心地点。Gartner 的应用安全测试魔力象限虽然并未首要考察 SCA,但也将其作为加分项特别指出。Protecode 对于 SCA 的加强首要体现在通过开源代码阐发、开源软件治理与策略实施特性,和专有的 Global IP Signature Database 署名数据库来加强开源软件证书检测。到此,Synopsys 的 SCA 方案已经比较完整了。

无非 Synopsys 似乎对 SCA 仍有更深度的寄托,所以就在前几天,Synopsys 宣告实现对 Black Duck Software 的收购[14]。这家公司核心手艺也是维护以及治理开源软件,所以作用也在于加强 Synopsys 原本的 SCA 方案。Black Duck 的价值在于对识别开源代码、发现已知安全漏洞以及证书合规问题完成自动化,并且也为影响开源代码最新发现的漏洞提供自动告警。

加上前面提到对于 Cigital 的收购,Synopsys 的 Software Integrity 平台也就大致勾勒出来了。这里没有谈到的还包括测试优化、威胁情报、收集渗透排泄测试等。无非像 Synopsys 原本在 EDA 领域就形成原始资本积累的企业才有这么玩的基础,毕竟这家公司在正式投入到软件质量与安全领域之前就已经活得至关润泽津润了。

但可能 Synopsys 的视野可能遥不止如今这般,所以收购动作可能还会持续很长一段时间,毕竟甚至其触角可能不限于应用开发。或许 Synopsys 的安全产品布局未来几年内还会有变动——谁让人家钱多呢。

Synopsys 的 Software Integrity 平台

以并购方式积累手艺的企业不在少数,无非 Synopsys 的动作的确是至关快的,尤为是在产品的融合方面。那么收购了这么多公司,实际结果怎么样呢?由于 Software Integrity 的产品以及服务类别太多,这里没法一一罗列,仅提及其中的几个。照样从 Gartner 的魔力象限说起。

由于 Synopsys 这两年在软件质量以及安全平台方面的收购动作过于频仍,所以即便是 Gartner 于今年 2 月发布的魔力象限讲演都有些信息滞后(譬如并不包含 Black Duck 的收购考量)。今年的 AST 魔力象限中,Gartner 将 Synopsys 放在 Leaders 领导者象限,这应该算是对这两年 Synopsys 频仍收购动作的极大肯定了。而这类收购实质上对其他竞争者产生了影响。

290926_0001.png

2017 应用安全测试魔力象限

譬如被 Synopsys 收购的 Cigital,以及 IBM 在 DAST 服务方面始终就有合作关系,而在收购过后 IBM 的托管 DAST 服务就变得越发不明朗。HPE 则与 Black Duck 有合作(IBM 以及 Black Duck 也有合作),在 Synopsys 实现对 Black Duck 的收购以后,这类竞争对手关系,可能会对其产品间集成的未来造成影响。

实际在 2015 年的 AST 魔力象限中,Synopsys 还排在 Visionaries 象限,Cigital 则位于 Challengers 象限。2014 年的 AST 魔力象限中,Quotium 也位于 Visionaries 象限。这几位现在已经融为一体,表现在今年的魔力象限中已位列 Leaders 象限了。我们来看看今年 Gartner 是怎么样评价 Synopsys 的:

优势首要有 Seeker 继续成为采用率最高的 IAST 解决方案之一,笼盖范围较广;Cigital 的 3D 许可证为企业构造提供弹性选择,可为任意应用在三个 SAST 以及 DAST 层级间进行产品选择;而 Codiscope 的 SecureAssist 则高度集成到了 IDE 中,为开发阶段早期提供了轻量级 SAST 工具(还记得前文提到的 training 吗?)。

缺点则是,Synopsys 仍旧是个不怎么知名的 AST 品牌,尤为是在北美以外的市场上,其收购对象普遍比 Synopsys 更著名(谁让人家是做 EDA 的呢…);另外在消化被收购企业的产品中仍有待观察(毕竟这么短的时间就收购了这么多公司);最后 Synopsys 不提供内陆 DAST 产品或者自动化 DAST 产品。

这些实在在前文基本都已经探讨过了,所有的优势以及劣势都与其快速收购举动分不开。无非我们认为,Synopsys 的收购以及产品思路完全相符 AST 市场的发铺轨迹。譬如 Gartner 在讲演中认为,为解决开发面临的诸多新问题,譬如 DevOps 这种更快更具弹性的开发方式,还有开发以及安全的进一步割裂,AST 市场的趋向应该包含如许几条:

1. 企业构造采用的解决方案,应该通过插入到 SDLC 当中(包括 IDE、build、库、QA 以及试生产)来集成自动化功能。这不仅能帮助开发者在流程更早期修复问题,还能促进开发以及安全间的协作;

2. 守候一次完备扫描就要几小时,这类方案对于每天多次修改代码的情形显著是分歧适的。所以应用安全测试供应商最先采用新的方案。比这样多供应商提供“增量扫描”,也就是只扫描一部分新增或修改过的代码。还有一些供应商则给 IDE 继承了轻量级 SAST,在开发者写代码的时辰进行实时反馈,很像拼写检查工具;

3. 解决方案需要提供软件构成阐发(SCA)。SCA 即将成为 AST 解决方案的症结或者主要特性,因为开源以及第三方组件在企业应用构建过程中越来越多。在 Gartner 的调查中,大约 40% 的受访者表示会采用商业现成的软件(off-the-shelf,也就是第三方组件)。行业内的提供商正偏向于引入自有的 SCA 解决方案,和以及专程的 SCA 提供商进行合作。

要是你子细涉猎了前文就不难发现,这几点实在恰巧是 Synopsys 近一年着力的方向,我们从下往上说。起首就是第三点 SCA,Synopsys 前后收购了三家公司(Codenomicon、Protecode 和 Black Duck)都是为了强化自家的 SCA 技能,像 IBM 如许的 AST 供应商没有本人的 SCA 方案,而选择与合作伙伴合作。不妨来看一看 Synopsys 的 SCA 方案(就鸣 Protecode):在 Synopsys 的定义中,这是治理复杂软件供应链中危害的综合解决方案,可完成第三方软件的可视性,治理运营体系以及软件的危害。[15]

实在企业构造从多个来源采用体系以及软件,也就是第三方组件较为复杂的供应链,现代已是很正常的事了,这主若是手艺以及速率驱动的。几乎所有的软件都包含第三方组件,包括免费开源软件、商业现成代码(COTS),还有内部开发组件。这些显著成为薄弱环节。Synopsys 的 SCA 是个二进制与运行时代码阐发平台,可识别第三方以及开源组件,已知漏洞、证书类型以及别的潜伏危害。而且因为阐发的是二进制代码,而非源码,也就能应用于所有软件或体系,包括嵌入式体系固件。

从易用性角度来说,其 SCA 交互界面提供扫描软件的构成以及健康状况呈现,包括每一个第三方组件(版本号、地位、已知漏洞等)、漏洞评估(从 NIST NVD 获取每一个漏洞的相干信息,包括了 CVE 编号以及严重性)、开源证书讲演。另外,其 SCA 解决方案,针对先前已扫描的软件能够接收最新发现漏洞的预警,且支持基于云的服务或者是内陆设备。

再说上面的第二点,集成到 IDE 的轻量级 SAST,可为开发者提供实时反馈。前文就已经提到,Synopsys 提供的 SecureAssist 就是这么个器械。无非不知道为什么 Synopsys 将其放在“培训”环节中。

QQ20171108-023126@2x.png

Coverity 静态阐发界面

至于“增量扫描”,这也不是新鲜事物。在 Synopsys 的 Coverity(也就是其 SATA 静态阐发)产品中,其症结特性包括对阐发速率以及弹性的加强[16]:

并行阐发让 Synopsys 静态阐发可以最多 16 核同时运行;

Fast Desktop Analysis 快速桌面阐发通过仅阐发修改过的,或者由于修改受到影响的代码,完成阐发加速,而不是每一次都对全部代码库进行阐发;

Synopsys 静态阐发可扩大至适应不同地理地位环境下数千开发者,并阐发过亿行代码的项目。

当然 Coverity 静态阐发并非仅夸大速率悬殊,其宣扬材料在反复夸大其独有的手艺,能够完成深度精确的阐发;还有融入到 SDLC 中,也支持开发者导入第三方阐发效果进入工作流,查看治理所有类型的缺点;Coverity 策略治理则支持企业构造在开发团队之间,为代码安全,和质量来定义以及实施持续标准,完成团队、项目以及组件是否相符标准的可视性,基于预定义的前提,来构建不同阶段;另外 Coverity Extend 是个 SDK,这是个可用于识别定制或特定缺点的框架。

最后聊一聊 Gartner 提到的上述第一点,将解决方案植入到 SDLC 软件开发性命周期中,在开发的更早阶段就能处理安全问题。这实际上是现代所有 AST 方案的一致起劲方向,就像上面谈到的 Synopsys 静态阐发同样。类似 Seeker 如许的 IAST 产品本身的着力点就是引入 SDLC 过程中。特别针对 web 应用的 Seeker 也是行使运行时代码以及数据流关系,确认每一个漏洞的可行使性以及营业危害,并提供补救方案[17]。据说这款 IAST 工具可以提供所有修复漏洞的信息,包括危害的详细诠释、手艺细节、代码存在安全问题的地位以及修改建议、基于上下文的修复建议、基于对数据危害以及影响进行漏洞分级,甚至在应用中进行攻击的视频演示。而其重点仍旧在于对 Agile 开发方式的支持,采用敏捷型解决方案来适应“最后一分钟”、频仍代码变迁。

所以 Synopsys 这两年的收购举动基本代表了 AST 市场的发铺方向。除此之外,Synopsys 的其他产品还包括了上面提到的模胡测试 Defensics(声称有业界最为广泛的协定笼盖)、渗透排泄测试(针对服务器端应用以及 API)、DAST(这里的 DAST 指 Synopsys 基于云端的托管服务,提供基础以及标准 DAST 摹拟攻击方,也采用渗透排泄测试)、MAST(挪移应用安全测试)等。

appsecconundrum.png

应用安全测试的未来

目前北美区域 AST 市场是最为兴盛的,AST 服务的采用率最高;欧洲客户紧随其后,尤为国防以及当局部门对 AST 方案采用率正在快速抬举。亚太区域的 AST 市场还在成长中。[6]无论不同统计机构间对市场规模的预估数据悬殊有多大,一请安见都是增进迅猛。实际从 Synopsys 如许一家老牌的 EDA 厂商,这两年忽然着力 AST 也能看出端倪,且 Synopsys 企业本身的成熟发铺,对其软件质量与安全平台营业的发铺就有天然的推动作用,黑客技术,频仍的收购动作也显得至关稳准狠。

今年 7 月,Gartner 又出了一份讲演,题为《Hype Cycle for Application Security, 2017》[18]。讲演中提出了 ASTO(Application Security Testing Orchestration,应用安全测试组合)的概念,ASTO 将软件开发性命周期内的安全工具进行整合,尤为作为 DevSecOps 的组成部分。另外还有 AVC(Application Vulnerability Correlation,应用安全缺点关联)工具,是指工作流与流程治理工具,让软件开发应用漏洞测试以及修复完成流线化。这些工具将种种安全测试数据源(静态、动态应用安全测试、SCA 阐发、渗透排泄测试与代码考核)融入到一个中央化的工具中,AVC 工具能够将安全缺点形成中心化数据,进行阐发,对补救方案作优先级排序,完成应用安全活动的协作。

“安全数据源正在增添,数据的治理以及转化越来越成为挑战。AVC 工具在一个应用组合中就提供更广范围安全问题的单一视图,单独的应用就能呈现危害。”

Synopsys 的软件质量与安全产品形成闭环在 ASTO 这个概念上是有优势的,但这家公司目前可能内部面临的一个问题即是对收购企业不同产品的消化以及整合,尤为在拥有客户以及数据基础的情形下,其软件质量与安全工具的组合都有主观基础,如 AVC 工具这个概念,完成多数据源的中心化工具可能会是未来 Synopsys 需要着力的方向。


WitAwards 2017「公众投票」通道现已开启

WitAwards年度互联网安全评比活动由国内信息安全新媒体领导者主办。评比周期历时3个月,评委包括顶尖行业专家、行业媒体以及安全从业者,颁奖盛典将在FreeBuf 互联网安全创新大会(FIT 2018)举办。「FIT 2018大会官网」

15094363996316.jpg

WitAwards 2017互联网安全年度评比,旨在发掘全年卓著的安全产品以及卓越人物;给予在2017年为安全行业做出奉献的小我私人、团队及产品以掌声以及肯定。

历时55天,近500项申报及提名,经WIT组委会严格考核,共预录取71席入围项目。FreeBuf现邀请每位安全领域从业者、兴趣者,共同选出安全领域Top Icon,一块儿见证年度安全盛誉的诞生,为数万名从业者以及数百款安全产品的起劲与创新喝彩!

27abee774abc4448f8b7312947ffd818.png

WitAwards 2017公众投票入口:「WIT投票进行中」

除此之外,我们还奉上「对话WitAdwards 2017专家评委」系列人物专访:

默安科技联合创始人兼CTO云舒 探寻普华永道高级经理刘广坤 独角兽安全团队创始人杨卿 君源创投治理合伙人金湘宇(Nuke)

*


参考来源

[1]Samsung and Synopsys Collaborate to Achieve First 14-nanometer FinFET Tapeout

[2]Synopsys Successfully Tapes Out Broad IP Portfolio for TSMC 7-nm FinFET Process

[3]Synopsys Posts Financial Results for Third Quarter Fiscal Year 2017

[4]Synopsys to Acquire Quotiums IAST Product Seeker

[5]Magic Quadrant for Application Security Testing

[6]Application Security Market (2017-2025) – Analysis By Solution, Services (Managed, Professional), Testing Type (SAST, DAST, IAST, RASP), Deployment (Cloud, On-premise), Organization Size & End-use – Research and Markets

[7]Application Security Testing Market – Global Industry Analysis, Size, Share, Growth, Trends, and Forecast 2017 – 2025,

[8]What Do SAST, DAST, IAST And RASP Mean To Developers? 

[9]Cigital – Wikipedia

[10]Synopsys to Expand Software Security Signoff Solution with Acquisition of Cigital and Codiscope

[11]Synopsys – Wikipedia

[12]Synopsys to Acquire Software Security Company Codenomicon

[13]Synopsys Extends Software Integrity Platform with Acquisition of Open Source Software Management Company Protecode

[14]Synopsys to Enhance Software Integrity Platform with Acquisition of Black Duck Software,

[15]Synopsys Software Composition Analysis(Protecode)

[16]Synopsys Static Analysis Coverity®

[17]Synopsys Interactive Application Security Testing(Seeker)

[18]Hype Cycle for Application Security, 2017

您可能还会对下面的文章感兴趣: