應用程式弱點整合平台
痛點
為了能夠應對快速變動的軟體需求,軟體架構從過去的單體式架構 (Monolithic) 走向微服務架構 ( Microservices ),軟體開發也由瀑布式開發 (Waterfall) 到敏捷式開發 (Agile),軟體發行作業變得更為頻繁。如何落實持續整合與快速交付,且同時維持軟體品質,並排除軟體的資安疑慮,成為開發人員及維運人員共同面臨的挑戰。
FEATURE
DevOps 的概念越趨成熟,不僅討論的聲浪持續地發燒,隨之而來的支援技術也陸續成熟,使得 DevOps 的施行更加容易。隨著資安意識提升,在快速交付的同時考量品質及軟體安全也成為企業必須注重的議題。企業在看到 DevOps 導入的價值時,更加重視 DevSecOps 可為企業帶來的效益。
導入 DevSecOps 不只是為了降低成本,而是為了因應市場需求的急速變化做出快速的反應,然而 DevSecOps 最終的目標並非只有速度,如果只看速度而不考慮品質及軟體安全,將有問題的軟體交付出去,這是本末倒置的做法。所以 DevSecOps 包含著開發、測試、維運及安全等部分,每個團隊間的資訊越透明,整合度越高。換句話說,要能夠成功引入 DevSecOps,其中一個關鍵因素是企業的協同文化,打通交付軟體的供應鏈,使各個團隊都能夠減少作業程序跟時間,更加有效率的協同工作。
AVC 整合版本控管、源碼掃描、單元測試、靜態掃描、動態掃描、負載測試、壓力測試、建置及佈署工具,提供 Web-base 平台,以統一管理介面制定完整且具有彈性之自動化作業程序,輔助企業輕鬆地落實
六大特色
企業安全開發流程管理
透過流程範本提供彈性且有效率的安全軟體開發生命週期管理方式。
企業整合資安檢測工具
自動化進行黑箱與白箱檢測,配合放行門檻機制,加強上版流程安全性及完整度。
各項資安檢測結果彙整
將不同資安檢測工具之掃描結果彙整於統一介面,提升自動化持續整合之管理綜效。
主動回饋及資安通報機制
透過通知機制設定,提升軟體開發生命週期中各項作業之反應效率。
多角度管理報表
提供 OWASP TOP 10、CWE 等通用標準,亦可依管理需求設計彙整標準,以客制化角度呈現報表。
落實分權管理
導入分權機制,以人員角色及職能為基礎,不同的角色擁有不同的操作權限。
BENEFIT
主管
- 對各團隊、各專案之風險統計、趨勢一目了然
- 易於推動持續整合與持續交付之軟體開發流程
- 提供資安稽核之佐證資料
資安人員
- 快速掌握公司面臨最大的資安風險
- 輕鬆落實資安控管工作
維運人員
- 有效且輕鬆地組態管理
- 減輕佈署作業的負擔
開發人員
- 自動化檢測,可更專注於開發工作
- 即早發現程式問題
SUPPORT
版本/源碼管理
- GIT | SVN | TFS | File Upload
單元測試工具
- JUnit | NUnit
靜態掃描工具
- Checkmarx | Whitesource | SonarQube
動態掃描工具
- HCL AppScan | Kryptowire
壓力/負載測試工具
- Visual Studio Load Test | JMeter
建置及佈署工具
- Maven Build | MSBuild | Tomcat Deploy | IIS Deploy
其他
- XShell