Vea cómo la solución de calidad continua de Parasoft ayuda a controlar y administrar los entornos de prueba para ofrecer software de alta calidad con confianza. Regístrese para la demostración >>
Tiempo de leer: 3 minutosDevSecOps ha ganado un impulso considerable como un proceso de facto para formalizar e integrar las pruebas de seguridad como parte del proceso de integración continua e implementación/entrega continua (CI/CD). Por integración de la seguridad en un proceso de CI/CD, las organizaciones pueden automatizar las pruebas de seguridad que se activan en cada compromiso del desarrollador, evitando demoras como un proceso cerrado o añadiéndolo al final.
CI / CD es el corazón en el desarrollo de software moderno y las organizaciones se dan cuenta de la necesidad de crear una instancia de una canalización de CI / CD para automatizar y optimizar su proceso de entrega de software.
El Departamento de Defensa (DoD) se da cuenta del cambio en el desarrollo de software moderno y está experimentando una transformación digital para aumentar la agilidad de la misión en el apoyo a los combatientes y las operaciones de campo. La entrega de capacidades de software cada tres a diez años hace que sea imposible mantenerse al día con el ritmo de la tecnología. Como resultado, el Departamento de Defensa ha lanzado una iniciativa Enterprise DevSecOps para modernizar y transformar su enfoque de la entrega de software.
Esta iniciativa se compone de varios componentes diseñados para mejorar la seguridad del software, mejorar las capacidades de la infraestructura, agilizar los procesos de TI y modernizar los procesos de cumplimiento para permitir que la Autoridad para operar continua en todo el Departamento de Defensa.
Como parte de la iniciativa Enterprise DevSecOps del Departamento de Defensa, se creó un repositorio central de contenedores autorizados, reforzados y acreditados de las mejores herramientas y capacidades de desarrollo de software. Este repositorio central, conocido como Iron Bank, está diseñado para bajar el listón en la implementación de soluciones DevSecOps en los programas de software del Departamento de Defensa.
Dadas las amenazas recientes y crecientes de comprometer las cadenas de herramientas de CI / CD y las canalizaciones de DevSecOps como se vio con la violación de SolarWinds, el Departamento de Defensa está buscando aprovechar Iron Bank para acelerar la adopción de DevSecOps para asegurar el proceso de entrega de software para todos los programas de software del Departamento de Defensa.
El repositorio de Iron Bank albergará herramientas de desarrollo de software tanto gratuitas como de código abierto (FOSS) y comerciales listas para usar (COTS). Los contenedores en Iron Bank se endurecerán según la guía de endurecimiento de contenedores de la agencia para permitir la reciprocidad en todo el Departamento de Defensa en todas las clasificaciones.
Los programas de software del Departamento de Defensa pueden impulsar su canalización de CI / CD y sus cadenas de herramientas con Parasoft C / C ++test, el mas completo pruebas de seguridad de aplicaciones estáticas (SAST) solución para C y C ++, que aprovechan técnicas de análisis integrales (análisis basado en patrones, análisis de flujo de datos e interpretación abstracta) para exponer vulnerabilidades críticas que a menudo conducen a ciberataques.
Actualmente está alojado en GitHub de Iron Bank como un archivo acoplable y está diseñado para usarse como una imagen base para las cadenas de herramientas del compilador C/C++. Tanto la versión estándar como la profesional están disponibles para ayudar a los programas de software del Departamento de Defensa a formalizar SAST y capacidades de prueba unitaria como parte de sus pruebas de software. Parasoft reconoce que la capacidad de desarrollar, implementar y mejorar continuamente el software es esencial para la defensa nacional.
La prueba Parasoft C / C ++ es ideal para desarrollo de software integrado y puede ayudar a hacer cumplir y validar los estándares de cumplimiento de seguridad y calidad, como Enumeración de debilidades comunes (CWE), CERT Estándares de codificación segura, MISRA y AUTOSAR por nombrar algunos, así como la validación de cumplimiento para DISA STIG y OWASP.
Estudios recientes sugieren que se prevé que el tamaño del mercado de sistemas integrados militares (defensa nacional) crezca de 1.4 millones en 2020 a 2.1 millones para 2025 a una tasa compuesta anual del 8.3% de 2020 a 2025.
Parasoft se da cuenta de esta creciente demanda y se ha comprometido a invertir importantes recursos para garantizar que nuestra solución SAST de prueba C / CC ++ se pueda contener en contenedores para cumplir con los estándares de seguridad y endurecimiento del Departamento de Defensa. Esto brinda una oportunidad única para que Parasoft trabaje con los programas de software del Departamento de Defensa para cumplir sus objetivos de misión de transformación digital y modernizar las prácticas de desarrollo de software para brindar seguridad de software garantizada a gran velocidad.
La solución de contenedorización de Parasoft SAST proporciona los siguientes beneficios a los programas de software del DoD.
Estos beneficios son esenciales para ayudar al Departamento de Defensa a satisfacer las necesidades de su misión y darse cuenta de las posibilidades ilimitadas en el desarrollo de software moderno. La formalización temprana de las pruebas de seguridad de software con una mentalidad de cambio a la izquierda no es negociable para los sistemas críticos y debe basarse en principios de garantía continua de software. Hágalo temprano y con frecuencia.
“MISRA”, “MISRA C” y el logotipo del triángulo son marcas comerciales registradas de The MISRA Consortium Limited. © The MISRA Consortium Limited, 2021. Todos los derechos reservados.
Kevin, director de soluciones de seguridad de Parasoft, tiene una amplia experiencia y conocimientos en seguridad de software, investigación y desarrollo cibernéticos y DevOps. Aprovecha su conocimiento para crear soluciones y tecnologías significativas para mejorar las prácticas de seguridad del software.