用于DevSecOps持续软件保障的Iron Bank

“Iron Bank “是一个授权、加固和认证的最佳软件开发工具和能力容器的中央库房，旨在降低国防部软件项目中DevSecOps解决方案的使用门槛。Iron Bank资源库将同时容纳自由和开放源码（FOSS）以及商业现成（COTS）的软件开发工具。

DevSecOps已经获得了相当大的动力，它是将安全测试作为持续集成和持续部署/交付（CI/CD）流程的一部分进行正式和整合的事实流程。通过将安全集成到CI/CD流程中，企业可以自动进行安全测试，并在每次开发人员提交时触发，避免作为一个门控流程的延迟或在最后附加。

CI/CD是现代软件开发的核心，企业意识到需要将CI/CD管道实例化，以实现软件交付过程的自动化和简化。

国防部实现软件开发的现代化

美国国防部（DoD）意识到现代软件开发的转变，正在进行数字化转型，以提高支持作战人员和现场操作的任务敏捷性。每隔三到十年交付一次软件能力，这使得我们无法跟上技术的步伐。因此，国防部发起了一项企业DevSecOps倡议，以实现其软件交付方式的现代化和转型。

启动企业DevSecOps倡议

该倡议由几个部分组成，旨在加强软件安全，改善基础设施能力，简化IT流程，并使合规流程现代化，以实现国防部范围内的持续运营授权。

作为国防部企业DevSecOps倡议的一部分，创建了一个授权、加固和认证的最佳软件开发工具和能力容器的中央库房。这个被称为 “Iron Bank “的中央存储库旨在降低国防部软件项目中DevSecOps解决方案的使用门槛。

鉴于最近发生的SolarWinds漏洞事件中，CI/CD工具链和DevSecOps管道受到越来越多的威胁，国防部希望利用Iron Bank加快DevSecOps的采用，以确保所有国防部软件项目的软件交付过程。

Iron Bank资源库将同时容纳自由和开放源码（FOSS）以及商业现成（COTS）的软件开发工具。Iron Bank中的容器将根据该机构的容器加固指南进行加固，以便在整个国防部范围内实现跨分类的互惠。

Iron Bank的Parasoft SAST

国防部的软件项目可以利用Parasoft C/C++test为其CI/CD管道和工具链提供动力，Parasoft C/C++test是最完整的C和C++静态应用安全测试（SAST）解决方案，它利用综合分析技术（基于模式的分析、数据流分析和抽象解释）来暴露通常导致网络攻击的关键漏洞。

它目前以dockerfile的形式托管在Iron Bank的GitHub上，目的是作为C/C++编译器工具链的基础镜像。标准版和专业版都可以帮助国防部的软件项目正式确定SAST和单元测试能力，作为其软件测试的一部分。Parasoft认识到，开发、部署和持续改进软件的能力对国防至关重要。

Parasoft C/C++测试是嵌入式软件开发的理想选择，可以帮助执行和验证安全和质量合规标准，如通用弱点列举（CWE）、CERT安全编码标准、MISRA和AUTOSAR等，以及DISA STIG和OWASP的合规验证。

不断增长的嵌入式市场

最近的研究表明，军事（国防）嵌入式系统市场规模预计将从2020年的14亿增长到2025年的21亿，2020年至2025年的年复合增长率为8.3%。

Parasoft意识到这一不断增长的需求，并承诺投入大量资源，以确保我们的C/CC++test SAST解决方案能够被容器化，以满足国防部的加固和安全标准。这为Parasoft提供了一个独特的机会，使其能够与国防部的软件项目合作，实现其数字化转型的任务目标，并使软件开发实践现代化，以快速提供有保障的软件安全。

为您的DevSecOps建立Iron Bank

容器化Parasoft SAST解决方案为国防部软件项目提供了以下好处：

在CI/CD管道中对开发人员提交的代码变更进行自动安全测试，以保持与软件交付节奏同步。

提供将安全和合规性整合到DevOps工具和工作流程中的能力，以执行安全和合规性标准，帮助告知风险管理决策。

通过补救工作流程分析、详细的发现报告、代码覆盖细节和报告分析，帮助改善开发人员和安全团队之间的合作，以确定什么是最重要的。

通过提供对安全测试中发现的风险和指标的实时可见性，支持持续运营授权（cATO）活动。这可用于扩大国防部软件项目的互惠性，以加速和告知cATO活动。

提供深入的分析反馈，整合到开发人员的工作中。

Parasoft——领先的自动化测试工具，满足绝大多数行业标准

标签：

来源：慧都