開(kāi)發(fā)和安全團隊在編碼開(kāi)發(fā)過(guò)程中解決安全和質(zhì)量缺陷，有助于向客戶(hù)交付可信軟件。借助應用安全測試工具掃描漏洞和缺陷是開(kāi)發(fā)人員常用的方法，越快速、越準確獲得掃描結果，就能越及時(shí)地進(jìn)行修復。

　　Visuality Systems Ltd. 總部位于以色列約克尼穆，是全球領(lǐng)先的服務(wù)器消息塊 (SMB) 協(xié)議解決方案開(kāi)發(fā)商和供應商。該解決方案是一種數據和打印機通信協(xié)議，可跨網(wǎng)絡(luò )節點(diǎn)提供對文件和打印機的共享訪(fǎng)問(wèn)。 Visuality Systems 擁有超過(guò) 150 家客戶(hù)，提供最全面的 Microsoft SMB 客戶(hù)端和 SMB 服務(wù)器解決方案，用于各種嵌入式產(chǎn)品、基于 Java 的應用程序和存儲系統。

　　Visuality Systems自動(dòng)化經(jīng)理Limor Segal-Shevah表示："軟件安全是我們客戶(hù)的優(yōu)先事項，他們期望Visuality Systems等合作伙伴可以提供可信軟件。Visuality Systems希望清楚地證明，我們的解決方案經(jīng)過(guò)了嚴格的測試，以保護客戶(hù)的產(chǎn)品和應用。"

　　Visuality Systems致力于開(kāi)發(fā) SMB 客戶(hù)端和基于服務(wù)器的解決方案，主要客戶(hù)包括消費設備、航空航天和國防、汽車(chē)以及工業(yè)和醫療設備領(lǐng)域的行業(yè)領(lǐng)導者。Visuality Systems的 NQ 產(chǎn)品線(xiàn)是當今世界上最常用的商業(yè) SMB 解決方案。

　　Limor Segal-Shevah指出："無(wú)論是打印機、家用電器、Java應用程序、醫療設備還是汽車(chē)娛樂(lè )系統，我們的客戶(hù)創(chuàng )建了運行在不同硬件和軟件上的各種軟件應用，并且每個(gè)應用都有特定的要求。"

　　Limor Segal-Shevah補充道："所有設備都需要網(wǎng)絡(luò )連接，因為在當今世界，設備和應用程序不能單獨運作。許多應用程序和嵌入式設備通過(guò)服務(wù)器消息塊或SMB協(xié)議(Windows系統的默認標準)與后端Windows系統進(jìn)行通信。網(wǎng)絡(luò )漏洞可以讓黑客有機會(huì )獲得機密信息或使用系統進(jìn)行攻擊。"

　　她說(shuō)："軟件漏洞通常是編碼錯誤的結果，惡意攻擊會(huì )利用代碼中的漏洞。Visuality Systems開(kāi)發(fā)人員需要主動(dòng)的檢測工具來(lái)發(fā)現他們編寫(xiě)的代碼中的漏洞，以降低風(fēng)險。"

　　Visuality Systems已經(jīng)在使用新思科技(Synopsys)的Defensics？模糊測試來(lái)識別運行代碼中的漏洞，并在2019年添加了 Coverity？靜態(tài)應用安全測試(SAST)，以幫助其開(kāi)發(fā)團隊在軟件開(kāi)發(fā)生命周期的早期解決編碼漏洞。Coverity是一個(gè)快速、準確和高度可擴展的靜態(tài)分析解決方案，幫助開(kāi)發(fā)和安全團隊處理安全和質(zhì)量漏洞，確保符合安全和編碼標準。

　　憑借Coverity 靜態(tài)應用安全測試，Visuality Systems開(kāi)發(fā)人員可以在不中斷正常工作流程的情況下掃描代碼，以查找安全漏洞和質(zhì)量缺陷。開(kāi)發(fā)人員可以通過(guò)選擇Coverity的快速桌面、增量或完整分析模式，來(lái)確定分析的速度和深度。快速桌面分析和增量分析可以幫助開(kāi)發(fā)人員在編碼時(shí)發(fā)現漏洞，這些漏洞最容易發(fā)現，也最容易修復。Coverity的完整分析模式與構建/CI工具集成，如果缺陷違反了安全或質(zhì)量規定，則構建失敗。DevOps團隊可以根據不斷變化的需求來(lái)調整和管理代碼分析。

　　Coverity已集成到Visuality Systems的CI/CD流程中。公司使用Bitbucket和Jira Cloud為軟件團隊管理他們的工作流程，并動(dòng)態(tài)顯示在pull-request構建中發(fā)現的新問(wèn)題的信息。Coverity 通過(guò) Python 和 Jenkins CI 集成到構建流程中。編寫(xiě)的每一段代碼都由 Coverity 檢查，并且在 Coverity 通過(guò)之前不能合并到開(kāi)發(fā)的主分支中。當第一次檢測到漏洞時(shí)，負責的開(kāi)發(fā)人員會(huì )在 Slack bot 中收到失敗通知，修復問(wèn)題，然后將代碼推送到云端，從而觸發(fā)新的pull-request構建。循環(huán)往復，直到成功編寫(xiě)出安全、優(yōu)質(zhì)的代碼。

　　Limor Segal-Shevah贊賞道："新思科技的Coverity 是一個(gè)強大的工具，可以幫助 Visuality Systems 不斷改進(jìn)產(chǎn)品，并最終編寫(xiě)出更優(yōu)質(zhì)、更安全的代碼。"

　　Visuality Systems的代碼質(zhì)量和穩定性都有所提高。Visuality Systems在軟件發(fā)布之前就已經(jīng)解決了代碼缺陷和漏洞問(wèn)題。而不是等到客戶(hù)發(fā)現了問(wèn)題，反饋至公司，然后來(lái)來(lái)回回進(jìn)行修復。在編碼開(kāi)發(fā)過(guò)程中解決安全和質(zhì)量缺陷，可以為客戶(hù)交付更健壯的代碼。

　　Limor Segal-Shevah表示："在我看來(lái)，Coverity最出色的地方在于能提供全面的信息，并擁有過(guò)濾這些信息的能力，例如識別優(yōu)先級、風(fēng)險和單個(gè)開(kāi)發(fā)人員所有者等。我可以只看最新版本中發(fā)現的新問(wèn)題；可以過(guò)濾掉我不需要的信息，只設置我想要的信息。非常便利。我們經(jīng)常使用過(guò)濾功能，每當數據庫發(fā)生變化時(shí)，也會(huì )使用通知功能。"