选择软件组成分析工具的最佳做法

ITCS 单击此处下载完整报告。 软件组成分析（SCA）为软件开发人员及其工作所在的组织提供了用于构建应用程序的开源组件清单的可见性。 在开发组织和应用程序安全团队在跟踪开源组件（包括其代码库中的直接和传递依赖项）遇到麻烦之后，SCA工具就应运而生。
依靠手动流程和电子表格的开发人员发现这种做法效率低下且容易出错。 ，并且不可扩展。 SCA工具可自动执行对开发环境中使用的开源代码进行识别和分类，识别潜在的安全问题，许可问题以及开源组件及其相关性的质量的过程。 在IT中心站上查看Sonatype Nexus Lifecycle的用户讨论了选择SCA解决方案的最佳实践。
为了有效地工作，SCA工具必须连续监视代码，因为使用开放源代码的现代开发方法本质上是连续的。 一位安全团队负责人喜欢此功能，他说：``在我们公司，我们一直在构建新的应用程序，其中一些应用程序比其他应用程序更活跃。我们发现，在未被积极开发的应用程序中存在很多漏洞，需要修复。
” 这就是为什么在选择SCA解决方案时，可见性是一个重要考虑因素的原因。开发人员以及负责其工作的人员必须了解开发中使用的开源组件。 一家拥有超过10,000名员工的金融服务公司的devsecops员工说：“这就像在黑暗中工作，突然之间您就具有可见性。这样，如果您不能使用某些东西，那么您就有其他选择。那是巨大的。” 一家金融服务公司的SCA用户拥有1000多名员工，他们对此表示赞同。
“我们不再盲目地使用易受攻击的组件进行建设。我们已经意识到，我们正在将这种意识推给开发人员，并且我们认为我们对威胁形势的看法有了更好的了解。 他们补充说：“我们什至没有意识到的错误或漏洞，我们现在已经意识到它们，我们可以很快地进行补救。”
误报会浪费时间，并导致SCA中的用户精疲力尽。相反，否定否定会在代码中引入安全性和许可问题。由于这些原因，SCA解决方案需要尽可能精确。
解决方案服务的高级负责人指出了该问题的重要性：“这有助于我们避免在现场暴露关键漏洞。这可以节省我们部署后可能进行的任何补救活动的时间，因为如果我们在应用程序完全开发和部署后发现安全问题，那么回头进行更改或重新投入周期将变得更加困难。 。” SCA不仅要保护代码。
它也应该成为提高开发人员生产力的驱动力。 解决方案服务高级主管还发现：“解决问题时，由于明确列出了问题，解决方案提高了开发人员的生产力。”他说，按数字计算，“我们将开发人员的生产力节省5％至10％。
” 用户强调，SCA技术应该为自己付出代价。一位金融服务开发人员说。 “修复开发生命周期中摄取的安全漏洞将花费大量资金。
” SCA的实践和解决方案最终是关于对代码库的所有部分强制实施安全策略。因此，首选的SCA解决方案是可以实施开源策略的解决方案。 金融服务devsecops员工补充说：“由于它是主动的实时数据，因此您可以立即知道应用程序的任何部分现在是否容易受到攻击。
” 尽管安全策略确实需要强大，但是如果它们过于严格，则会对开发人员的生产率产生负面影响。它们甚至可能被完全规避。因此，如果SCA解决方案提供灵活的政策实施，这将很有用。
它[SCA]是一个新的缓解控件，可以发现新的漏洞类别。它有助于实施安全的编码实践，在您首次推出它时可能会花费一些时间，但是过一会儿，它可能并没有那么多成本，因为更多的开发人员对此很熟悉。 另外，一家小型金融服务公司的用户说：“它甚至可以继承某些组件，因为在现实世界中，由于不兼容，我们不能总是花时间去更新某些东西。
” “拥有这些功能使它变得更易于使用和实用。它使我们能够应用安全性，而无需采用全有或全无的方法。” 根据IT中心对Sonatype Nexus Lifecycle的评论，用户希望SCA对开发活动具有可见性和意识，并对其进行持续监控。
他们还希望SCA具有来自多个来源的高质量数据，误报率低，并且增加了开发人员的生产力，投资​​回报率，灵活的策略实施，通过破坏构建来实施开源策略，集成功能和强大的供应商支持。 p 选择软件组成分析工具。