在安全左移已成为重要命题的当下，如何在软件开发初期就能及时发现安全问题并修补漏洞，已经成为开发者的迫切需求。因为把问题遏制在早期和前端，会节省大量的后期补救成本，并极大提高效率和敏捷性。同时，在满足快速开发的同时构建可信软件，兼顾速度和质量也是开发者的关键诉求之一。

正如新思科技中国区软件应用安全技术总监杨国梁所言：“代码更多，测试频率更快已是软件开发的重要趋势。”他还举例道，如今的豪华轿车已包含近1亿行软件代码。在谷歌的系统中，为了支持每天超过400万次构建，需要每天运行超过5亿次测试。从而，“如何在开发周期的初始阶段就发现并解决问题，更好地适应云原生和DevSecOps转型，正变得日益迫切。”

新思科技推出的 Code Sight 标准版，就是为满足这些需求而来。

三大趋势

杨国梁首先谈到了代码快速增长所带来的三个趋势。

一个是如何把Security做到DevOps里，变成一个真正的DevSecOps，从而把安全加入到研发运营一体化里面。“也就是说在确保速度和确保发布的前提下，你还要确保它的安全。”

第二个是以云原生的方式来保障企业上云，为原生应用做好安全测试的保障。这是之前没有考虑过的安全风险。

Risk Management 风险管理是第三个趋势。因为随着代码急剧膨胀，把独立的安全问题转变为项目级别去针对，是每个企业早晚要面临的问题。

高效高质

Code Sight 标准版是适用于集成开发环境 (IDE) 的 Code Sight 插件独立版本。杨国梁表示，凭借新思科技Rapid Scan功能，Code Sight标准版在开发人员的 IDE 中提供快速、轻量级的应用安全分析，使得开发人员在提交代码前就能修复安全缺陷，减轻了下游安全测试的负载，也避免了开发后期才发现之前的代码缺陷和漏洞，最大限度地减少了代价高昂的返工。

他强调：“无论从便捷程度，还是从投入产出比与节约开销这样的角度来说，在IDE阶段尽可能地解决更多的安全问题，都是一个非常划算和高效的手段。”

目前，Rapid Scan快速扫描功能已添加进了Coverity静态应用安全测试(SAST)及Black Duck软件组件分析(SCA)中。作为轻量级IDE插件，Code Sight 标准版是独立于集中式安全测试工具运作的，开发人员可以直接从 VS Code Marketplace 下载并安装，并在五分钟内就可以开始分析代码。

在谈及开发人员和安全人员的协调问题时，杨国梁表示，这虽然不是一个技术问题，但却可以通过技术的方法来解决。以新思科技领先的Code Sight 技术赋能开发人员，帮助他们从一开始就编写更加安全的代码，在IDE上直接修复所能够发现的所有安全问题，从而更快地发布更高质量的软件，让开发人员和安全人员实现良好的协同。

构建可信

在软件开发过程中，可信是一个重要的关键词。只有构建了可信软件，才能驱动创新，有效管理软件风险，并有力推动数字化转型。对此，新思科技给出了三点建议：保护软件供应链安全、将安全性纳入DevOps、建立全面的应用安全项目。以将安全性纳入DevOps为例，借助智能AST编排和关联，帮助团队保持DevOps速度，并将修复重点放在对业务最关键的问题上。

有数据显示，到2025年，数字经济占GDP比重将达到10%。而软件和信息技术服务业的规模也将大幅增长到14万亿元。新思科技Code Sight技术正是兼具了速度与可信，质量与效益，可谓开发者的良师益友。

2022年03月15日 于上海

版权作品 未经许可 请勿转载