选择软件组成分析工具的最佳做法
![](/assets/blank.gif)
登录或订阅Insider Pro以下载SCA同行评审 。
软件组成分析(SCA)为软件开发人员及其工作所在的组织提供了用于构建应用程序的开源组件清单的可见性。
在开发组织和应用程序安全团队在跟踪开源组件(包括其代码库中的直接和传递依赖项)遇到麻烦之后,SCA工具就应运而生。 依靠手动流程和电子表格的开发人员发现这种做法效率低下,容易出错且不可扩展。
软件组成分析工具如何工作
SCA工具可自动执行对开发环境中使用的开源代码进行识别和分类,识别潜在的安全问题,许可问题以及开源组件及其相关性的质量的过程。
在IT中心站上查看Sonatype Nexus Lifecycle的用户讨论了选择SCA解决方案的最佳实践。
SCA和连续监控
为了有效地工作,SCA工具必须连续监视代码,因为使用开放源代码的现代开发方法本质上是连续的。
一个安全团队负责人喜欢此功能,他说:“在我们公司,我们一直在构建新的应用程序,其中一些应用程序比其他应用程序更积极地开发。 我们发现,在未被积极开发的应用程序中,我们存在许多漏洞,需要修复。
[ Insider Pro产品评论 ]
这就是为什么在选择SCA解决方案时,可见性是一个重要考虑因素的原因。 开发人员以及负责其工作的人员必须了解开发中使用的开源组件。
![](/assets/blank.gif)
单击此处下载完整报告。
软件组成分析(SCA)为软件开发人员及其工作所在的组织提供了用于构建应用程序的开源组件清单的可见性。
在开发组织和应用程序安全团队在跟踪开源组件(包括其代码库中的直接和传递依赖项)遇到麻烦之后,SCA工具就应运而生。 依靠手动流程和电子表格的开发人员发现这种做法效率低下,容易出错且不可扩展。
软件组成分析工具如何工作
SCA工具可自动执行对开发环境中使用的开源代码进行识别和分类,识别潜在的安全问题,许可问题以及开源组件及其相关性的质量的过程。
[相关: 14个Microsoft Teams应用程序可帮助您更智能地工作 ]
在IT中心站上查看Sonatype Nexus Lifecycle的用户讨论了选择SCA解决方案的最佳实践。
SCA和连续监控
为了有效地工作,SCA工具必须连续监视代码,因为使用开放源代码的现代开发方法本质上是连续的。
一个安全团队负责人喜欢此功能,他说:“在我们公司,我们一直在构建新的应用程序,其中一些应用程序比其他应用程序更积极地开发。 我们发现,在未被积极开发的应用程序中,我们存在许多漏洞,需要修复。
[ Insider Pro产品评论 ]
这就是为什么在选择SCA解决方案时,可见性是一个重要考虑因素的原因。 开发人员以及负责其工作的人员必须了解开发中使用的开源组件。
一家拥有10,000多名员工的金融服务公司的devsecops员工说:“这就像在黑暗中工作,突然之间您就具有可见性。如果您不能使用某些东西,则有其他选择。 那是巨大的。”
一家金融服务公司的SCA用户拥有1000多名员工,他们对此表示赞同。 “我们不再盲目地构建易受攻击的组件。 我们已经意识到了,我们正在将这种意识推给开发人员,并且我们认为我们对威胁形势看起来有了更好的了解。
他们补充说:“我们什至没有意识到的错误或漏洞,我们现在已经意识到它们,我们可以很快地进行补救。”
误报率低
误报会浪费时间并导致用户在SCA中精疲力尽。 相反,否定否定会在代码中引入安全性和许可问题。 由于这些原因,SCA解决方案需要尽可能精确。
解决方案服务的高级负责人指出了此问题的重要性:“这有助于我们避免在现场暴露关键漏洞。 它为我们节省了部署后可能进行的任何补救活动的时间,因为如果我们在应用程序完全开发和部署后发现安全问题,那么回头进行更改或重新投入周期将变得更加困难。 。”
提高开发人员的生产力和投资回报率
SCA不仅仅是保护代码。 它也应该是提高开发人员生产力的驱动力。
解决方案服务高级主管还发现:“解决问题时,由于明确列出了问题,解决方案提高了开发人员的生产力。” 他说,按数字计算,“我们将开发人员的生产力节省5%至10%。”
用户强调,SCA技术应该为自己付出代价。 一位金融服务开发人员说。 “修复开发生命周期中吸收的安全漏洞将花费大量资金。”
开源政策
SCA的实践和解决方案最终是关于对代码库的所有部分强制实施安全策略。 因此,首选的SCA解决方案是可以实施开源策略的解决方案。
金融服务devsecops员工补充说:“由于它是主动的实时数据,因此您可以立即知道应用程序的任何部分现在是否容易受到攻击。”
尽管安全策略确实需要强大,但是如果它们过于严格,则会对开发人员的生产率产生负面影响。 它们甚至可能被完全规避。 因此,如果SCA解决方案提供灵活的策略实施,则将很有用。
它[SCA]是一个新的缓解控件,可以发现新的漏洞类别。 它有助于实施安全的编码实践,当您首次推出它时可能会花费一些时间,但是过一会儿,它可能并没有那么多成本,因为更多的开发人员对此非常熟悉。”
另外,一家小型金融服务公司的用户说:“它甚至可以继承某些组件,因为在现实世界中,我们不能总是花时间去更新某些东西,因为它不向后兼容。”
“拥有这些功能使它变得更易于使用和实用。它使我们能够应用安全性,而无需采用全有或全无的方法。”
根据IT中心对Sonatype Nexus Lifecycle的评论,用户希望SCA对开发活动的可见性和意识进行连续监控。 他们还希望SCA具有来自多个来源的高质量数据,较低的误报率,提高的开发人员生产率,ROI,灵活的策略执行,通过破坏构建来实施开源策略,集成功能以及强大的供应商支持。
From: https://www.idginsiderpro.com/article/3541764/best-practices-for-selecting-software-composition-analysis-tools.html
选择软件组成分析工具的最佳做法相关推荐
- mcq 队列_MCQ | 软件程序分析工具和组件分类| 免费和开源软件
mcq 队列 Q1. Which of the following analysis methods come under Static Analysis Tools? Q1. 静态分析工具包含以下哪 ...
- 静态代码分析工具列表--常用静态代码分析工具介绍
代码检测简介 本文是一个静态代码分析工具的清单,但是为公司产品需要付费使用.共有37个公司,有些公司包含多个工具.其中27个公司有多语言 工具,1个公司为PHP工具.2个公司为.NET工具.1个公司为 ...
- wps2019数据分析加载项_《07版office办公软件中的excle中,为什么在加载项里选择了分析工具库,数据分析还是显示不出来?》 wps数据分析加载项...
如何利用excle做数据分析 excel完全可以解决! 可以通过数据透视表,筛选出你的各种需求,但是要求操作要熟练,没办法在这里描述清楚的 07版office办公软件中的excle中,为什么在加载项里 ...
- QlikSense导入oracle数据,【主流BI分析工具对比】12款顶级BI分析工具最佳用例
如今的市面上充盈着商务智能(BI)工具,可以解决所有类型业务与行业日益增长的分析需求.然而,哪款(或哪些)分析工具值得购买呢? 在本文中,通过检验来自12家顶级厂商的BI分析工具:Birst.IBM. ...
- 宏转录组方法_综述:分析微生物组的最佳做法
本文讨论了微生物组学研究的各个阶段,从设计实验到收集和储存样本,到最后序列数据的图形展示等,有助于研究人员考虑实验和分析中遇到的各种影响因素,指导我们更好地进行微生物组学研究. 分析微生物组的最佳做法 ...
- 网络管理员在预先分配和识别作为_14个网络管理员必备的最佳网络流量分析工具,收藏了...
企业网络每天都会产生大量数据.企业可以分析这些数据,以深入了解网络运行情况或发现安全威胁.网络流量分析(NTA)解决方案允许网络管理员收集流经网络的流量数据.这些工具通常用于识别性能问题和/或发现安全 ...
- 线性时间选择_马鞍山非线性分析工具了解详情_南京凯安软件
南京凯安软件为您带来马鞍山非线性分析工具了解详情,欢迎查看. 马鞍山非线性分析工具了解详情,在社会现实经济生活中,很多现象之间的关系并不是线性关系,对这种类型现象的分析预测一般要应用非线性回归预测,通 ...
- 作为数据分析师怎样选择适合你的分析工具?
不管是数据分析,统计分析,数据挖掘.商业智能都需要在学习的时候掌握各种分析手段和技能,特别是要掌握分析软件工具!我曾经说过,学习方法,一般是先学软件开始,再去应用,再学会理论和原理.没有软件工具的方法 ...
- mysql 查询分析工具下载_SQL分析工具下载-SQL查询工具(DB Solo)下载v5.2.5官方版-西西软件下载...
DB Solo是一款完美的数据库查询分析工具.软件优秀跨平台SQL查询功能,支持所有主要DBMS产品:主要用于POJO的J2EE代码生成器,EJB 3.0批注,使用DAO 模式的JDBC持久层,JU ...
最新文章
- java 嵌套对象序列化_在javascript中将复杂的,嵌套的,用户定义的对象序列化为字符串...
- 归并排序树状数组求逆序数
- 「第一弹」电子设计大赛应该准备什么?
- 72. Edit Distance
- 13 岁编程!少年比尔·盖茨如何成为最成功的自学成才程序员?
- 4天卖断货3次!悄然登顶新书榜,这书绝对是四月最大黑马!
- adobe出的cookbook
- 华为 荣耀 等手机解锁BootLoader
- 小米 mini 路由器刷 PandoraBox 系统实现 E 信破解
- 广告投放系统常用的几种防作弊方式
- UVA1723 Intervals
- SDM(Supervised Descent Method)代码实现在Windows下的配置与使用
- Linux下Docker安装微信文件传输问题
- 参考文献中期刊/会议如何缩写
- 使用Tornado+Redis维护ADSL拨号服务器代理池
- android开发 实现动态获得app的cpu占有率并导出文件的两种方法。
- 陆奇演讲:2021不能错过的四大趋势
- raft协议_将Raft集成到JGroups中
- 富贵不压重发_【一点资讯】头发面相歌诀:“贵人不顶重发,十个秃子九个富” www.yidianzixun.com...
- 持续集成/持续部署(3)Jenkins(2)