在当今软件开发中,几乎离不开开源组件。软件公司也在寻求有效的解决方案,以方便团队管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。多年来,许多公司一直采用Black Duck® 软件组件分析 (SCA),将开源治理集成至 DevSecOps 并实现自动化, 预防并管理开源风险。Avira软件公司是其中一家。

 

Avira背景介绍
自1986年以来,Avira Operations GmbH&Co. KG提供安全、私密、性能出色的软件组合,在同类产品中脱颖而出。Avira是一家跨国计算机软件公司,开发用于台式机、移动设备和智能家居的产品,提供免费升级及高级版本。

 

挑战:保证DevOps速度,确保开源软件安全
开源软件已成为常态,在技​​术和非技术公司中都很常见。如今,开源已成为每个行业几乎所有应用程序的基础。尽管开源的普及和采用量激增,企业通常仍然无法有效地管理其安全性。

 

新思科技(Synopsys)每年都会发布《开源安全性和风险分析报告》,洞悉开源安全性、合规性和代码质量风险的当前状态。2020年报告发现,在经过审核的1,253个应用中,有99%包含开源代码,而这些代码库中有75%包含漏洞。显然,这显示了开源代码的优势以及缺乏开源代码漏洞管理。

 

开源安全的需求日益增长。随着企业转向敏捷的DevOps开发周期,安全解决方案必须能够充分扩展并保持同步。

 

Avira等企业想要提供行业领先的软件产品,就必须使用安全可靠的代码。因此,他们必须将强大的安全解决方案纳入其软件开发生命周期中,以便充分管理开源。

 

Avira信息安全官Marian Schneider指出,Avira DevOps流程中的关键挑战包括:产品复杂性不断增加、市场法规增加以及需要替代手动流程。这些挑战驱使Avira寻求一种跟上其DevOps需求并保持其规模的开源安全解决方案。

 

Marian Schneider表示:“从DevOps方面来看,开源安全变得越来越重要,Avira开始在市场上寻找集成到DevOps管道中的工具。”

 

解决方案:新思科技应用安全测试工具
Avira采用了新思科技BlackDuck®软件组成分析(SCA)解决方案来帮助保护其开源资源,并确保安全措施不会减慢开发速度。 Black Duck是一种全面的SCA解决方案,用于管理在应用程序和容器中使用开源的安全性、许可证合规性和代码质量风险。

 

为了扩展DevOps渠道和产品套件,Avira大规模采用了Black Duck。所有开发团队在所有Avira产品中都部署Black Duck,并且经常进行扫描。Avira在每个主版本发布和/或构建中都启用Black Duck。

 

当被问及为何Avira选择Black Duck SCA时,Marian Schneider解释道:“摘要扫描(合规端)、安全信息以及从DevOps端集成到DevOps流程中。 Black Duck概念验证表明,它发现并显示了问题,提供Avira所需的信息。”

 

效果:简化安全工作,加强沟通
Marian Schneider表示:“安全是一种权利,而不是特权。所有客户都有获得安全软件的权利,而不是专属于某些人或者产品。”

 

在实施Black Duck之前,Avira的开源风险是通过两种方式进行管理的:通过Confluence和Jira处理许可证,并使用基于文档化的第三方库自定义Python脚本处理通用漏洞披露(CVE)。这些脱节和孤立的流程无法扩展或与Avira的DevOps管道保持同步。Avira需要一个能够保持开发速度的综合解决方案。

 

Marian Schneider指出,部署Black Duck给Avira带来许多好处,其中最重要的是在DevOps中增加了自动化流程和集成工具。

 

她说:“现在,开源的安全性和合规性已深深地嵌入到开发过程中,而不是由合规性团队进行管理。”

 

Marian Schneider发现Black Duck提供了更高的可扩展性,消除了对手动操作的需求,并且提升员工对开源代码安全重要性的整体意识。而且,Black Duck带来了意想不到的好处:“随着意识的增强,开发人员与法律部门之间的交流增加了”。

 

凭借Black Duck SCA,Avira确保了开源安全,其产品拥有可靠的安全性,表现出色,进一步巩固了其领先的行业地位。