במצב הנוכחי, הצורך בפיתוח תוכנה כבר איננו נחלת תעשיות ההיי-טק בלבד. ככל שהקצב והמורכבות של פיתוח התוכנה גדלים, צוותי אבטחת המידע ומחלקות הפיתוח כבר מכירים בכך ששילוב אוטומציה של בדיקות אבטחת המידע בקוד עצמו, בתוך כלי הפיתוח וכחלק אינטגרלי מתהליכי העבודה, הוא חיוני ואף חובה.
יחד עם זאת, אנו מוצאים לעיתים כי בדיקות אלו עלולות להאט את הליך שלבי הפיתוח ולהציף כמויות גדולות מאד של ממצאים בפני צוותי הפיתוח השונים, כאשר חלקם הגדול אולי לא בהכרח דורש תיקון או תשומת לב מיידית.
עם הרכישה האחרונה של Code Dx על-ידיSynopsys, חברה עטורת פרסים ומובילת שוק בכל הקשור לכלי סריקת קוד אוטומטיים, בסריקה מהירה והמלצות לאופן תיקונם, מתאפשר לסינופסיס להציע כלי ניהול ודיווח סיכונים מרכזי. כלומר, Dashboard מאוחד שמתעדף את האופן והצורך בטיפול ושואב נתוני AppSec שמתנקזים אליו גם מ- 75 יצרנים שונים של כלי סריקות וקוד פתוח.
אנו מאמינים כי יכולות אלו ישנו לחלוטין את כללי המשחק, לא רק עבור Synopsys, אלא עבור תעשיית ה- Application Security כולה וחשוב מזה - עבור לקוחותינו.
התחרות בשוק בכל המישורים היא עצומה כיום, וה-Speed to market הפך להיות שם המשחק עבור ארגונים רבים ברחבי העולם. כל דבר שמאט אותו או מוסיף חיכוך לתהליכי הפיתוח, הוא איום על העסק שלהם. אנו מכירים בכך ופועלים מתוך מחויבות לסייע לכל ארגון, קטן כגדול, לנהל את סיכוני אבטחת המידע שלו ביעילות, באופן הוליסטי ועם פרודקטיביות גבוהה. התוספת של Code Dx לארסנל הכלים שלנו היא בדיוק זו שתעזור לנו להשלים מחויבות זו עם הערך הגבוה ביותר.
סביבות הפיתוח באשר הן נדרשות לשלושה דברים שלא משתנים:
- חייבים לבדוק את התוכנה, שכן היא יעד התקיפה המועדף על-ידי גורמים זדוניים, וכדי לקבל תמונה הוליסטית אתה חייב לבצע מספר רב מאד של בדיקות מסוגים שונים, מה שיוצר הר של ממצאים.
- חייבים להאיץ את תהליך הפיתוח וזאת על מנת ליישר קו עם המטרות העסקיות ולכן יש לעבוד חכם ולהפעיל את מנגנוני הסריקות מבלי לגרום לחיכוך מיותר או לבלבל את תהליך זרימת הקוד.
- חייבים להגן ולשמר את התפוקה של המפתחים ולא להציף אותם בעודף ממצאים. חייבת להיות יכולת להתאים ולתעדף את הממצאים כדי להבטיח שהמפתחים עובדים ביעילות ומטפלים בסיכונים הגבוהים ביותר.
עמידה בכל שלוש הדרישות הללו מחייבת את הפעלת הבדיקה הנכונה, בזמן הנכון וברמה הנכונה ומייד לאחר מכן נדרש תיעדוף מותאם של תוצאות הסריקה לתיקון. כעת סינופסיס יכולה לספק את כל אלו עבור הלקוחות שלנו, ובכך להפוך את עולם ה-AST מעולם שנתפס כמעכב פרודקטיביות לכזה שמוביל ומסייע בהגברתו ולאפשר ל- DevOps לממש את היעילות הדרושה כדי להניע את המטרות העסקיות תוך כדי מזעור הסיכונים לארגון.
הכותב הוא מנהל המכירות באזור ישראל ויוון בחברת סינופסיס
