在將DevSecOps應(yīng)用到實(shí)際項(xiàng)目開(kāi)發(fā)中時(shí)，“安全”不是軟件開(kāi)發(fā)過(guò)程中的一個(gè)獨(dú)立階段，它需要貫穿到開(kāi)發(fā)流程的各個(gè)階段。嵌入式代碼測(cè)試工具Parasoft C/C++test的核心優(yōu)勢(shì)在于提供了統(tǒng)一的測(cè)試引擎和策略配置，并將其嵌入到從開(kāi)發(fā)到交付的軟件測(cè)試全流程的關(guān)鍵節(jié)點(diǎn)中，實(shí)現(xiàn)了“一次配置，處處運(yùn)行”。

>>點(diǎn)擊獲取Parasoft C/C++test試用

一、開(kāi)發(fā)階段（IDE）的防護(hù)

在開(kāi)發(fā)者編寫代碼的瞬間，Parasoft C/C++test的測(cè)試引擎即在其IDE中開(kāi)始工作。

• 實(shí)時(shí)反饋與快速修復(fù)： 提供即時(shí)警告和修復(fù)建議。
• 本地策略一致性： IDE中的測(cè)試規(guī)則與中央服務(wù)器保持同步。 確保開(kāi)發(fā)者本地測(cè)試的結(jié)果與后續(xù)流水線檢查的結(jié)果一致。

二、構(gòu)建集成階段

代碼集成到版本庫(kù)后，Parasoft C/C++test在構(gòu)建服務(wù)器（如Jenkins, Azure DevOps）上觸發(fā)更全面、更深度的測(cè)試。

• 全面測(cè)試與測(cè)試增量： 執(zhí)行比本地IDE更耗時(shí)、更嚴(yán)格的全面掃描，并能測(cè)試本次提交與上一次構(gòu)建之間的增量代碼。
• 與構(gòu)建流程集成： 測(cè)試任務(wù)可作為構(gòu)建腳本的一部分自動(dòng)運(yùn)行。將安全測(cè)試徹底自動(dòng)化，使其成為持續(xù)集成（CI）中一個(gè)不可或缺的環(huán)節(jié)，無(wú)需人工干預(yù)。

三、持續(xù)交付階段

在CI/CD流水線中，Parasoft C/C++test作為自動(dòng)化流水線中的一個(gè)關(guān)鍵質(zhì)量關(guān)卡。

• 可強(qiáng)制執(zhí)行的質(zhì)量策略： 可以設(shè)定自動(dòng)化的執(zhí)行策略，這是“安全左移”的體現(xiàn)，確保任何不滿足預(yù)設(shè)質(zhì)量與安全基準(zhǔn)的代碼都無(wú)法進(jìn)入生產(chǎn)環(huán)境，將風(fēng)險(xiǎn)阻擋在發(fā)布之前。
• 快速反饋： 一旦流水線中的測(cè)試失敗，通常通過(guò)CI/CD工具通知到代碼提交者。讓開(kāi)發(fā)者能立刻在IDE中定位并修復(fù)問(wèn)題，保持了DevOps的敏捷性。

四、中央管理平臺(tái)的統(tǒng)一治理

Parasoft C/C++test提供強(qiáng)大的中央管理平臺(tái)，實(shí)現(xiàn)軟件測(cè)試全流程的統(tǒng)一治理。

• 策略與規(guī)則的統(tǒng)一管理： 安全團(tuán)隊(duì)在中央平臺(tái)統(tǒng)一配置、更新和測(cè)試策略（規(guī)則集）、質(zhì)量門禁閾值，并一鍵同步到所有IDE和構(gòu)建/流水線節(jié)點(diǎn)。
• 全局狀態(tài)監(jiān)控： 平臺(tái)匯聚所有環(huán)節(jié)的測(cè)試結(jié)果，提供全局視角。管理者可以清晰地看到有多少Bug在IDE中被解決，有多少流入了構(gòu)建階段，又有多少被流水線的質(zhì)量門禁成功攔截。

典型行業(yè)案例

(1)遵循嚴(yán)格合規(guī)的金融核心系統(tǒng)迭代

銀行需要頻繁更新其移動(dòng)應(yīng)用和后臺(tái)系統(tǒng)，且必須滿足行業(yè)監(jiān)管要求。開(kāi)發(fā)團(tuán)隊(duì)在IDE中遵循內(nèi)置的CERT和CWE規(guī)則。每次構(gòu)建生成的合規(guī)報(bào)告被自動(dòng)歸檔。使用Parasoft C/C++test時(shí)，在通往生產(chǎn)環(huán)境的發(fā)布流水線中，會(huì)設(shè)置強(qiáng)控關(guān)卡，確保任何一次迭代都符合風(fēng)控要求。所有流程的審計(jì)日志均被Parasoft C/C++test記錄，用于應(yīng)對(duì)銀保監(jiān)會(huì)的檢查。

(2)汽車軟件的OTA升級(jí)包驗(yàn)證

車企通過(guò)OTA（空中下載）為車輛更新軟件。在構(gòu)建用于OTA的軟件升級(jí)包后，會(huì)在CI/CD流水線中自動(dòng)觸發(fā)一次全面的、基于CERT和AUTOSAR標(biāo)準(zhǔn)的測(cè)試。在這一過(guò)程中，Parasoft C/C++test 作為關(guān)鍵質(zhì)量門禁，對(duì)軟件包進(jìn)行靜態(tài)和動(dòng)態(tài)測(cè)試，確保只有通過(guò)所有安全和質(zhì)量檢查的版本才會(huì)被自動(dòng)簽名并推送到OTA發(fā)布服務(wù)器。基于Parasoft的自動(dòng)化測(cè)試能力，該流程保障了每次推送至車輛更新的可靠性，從而滿足功能安全與信息安全的嚴(yán)格要求，確保路上行駛的車輛始終運(yùn)行在經(jīng)過(guò)充分驗(yàn)證的軟件版本上。

Parasoft C/C++test的嵌入式測(cè)試架構(gòu)，在于“治理集中化，執(zhí)行分布式”。它通過(guò)統(tǒng)一引擎和統(tǒng)一策略，將安全能力無(wú)縫注入現(xiàn)代軟件開(kāi)發(fā)的全鏈路，既賦予了開(kāi)發(fā)者在最早階段發(fā)現(xiàn)并解決問(wèn)題的自主權(quán)，又為管理者提供了強(qiáng)制執(zhí)行安全策略、保證最終交付產(chǎn)物合規(guī)可控的硬性手段。平衡了DevOps所追求的“速度”與安全不可或缺的“穩(wěn)定性”。

關(guān)于慧都

慧都是一家行業(yè)數(shù)字化解決方案公司，專注于軟件、石油與工業(yè)領(lǐng)域，以深入的業(yè)務(wù)理解和行業(yè)經(jīng)驗(yàn)，幫助企業(yè)實(shí)現(xiàn)智能化轉(zhuǎn)型與持續(xù)競(jìng)爭(zhēng)優(yōu)勢(shì)。在軟件工程領(lǐng)域，我們提供開(kāi)發(fā)控件、研發(fā)管理、代碼開(kāi)發(fā)、部署運(yùn)維等軟件開(kāi)發(fā)全鏈路所需的產(chǎn)品，提供正版授權(quán)采購(gòu)、技術(shù)選型、個(gè)性化維保等服務(wù)，幫助客戶實(shí)現(xiàn)技術(shù)合規(guī)、降本增效與風(fēng)險(xiǎn)可控。

慧都科技作為Parasoft公司在中國(guó)區(qū)的官方授權(quán)合作伙伴，憑借對(duì)國(guó)內(nèi)各行業(yè)合規(guī)要求與研發(fā)實(shí)踐的深刻理解，為企業(yè)提供Parasoft C/C++test產(chǎn)品的正版授權(quán)、定制化部署與全周期技術(shù)服務(wù)，助力客戶精準(zhǔn)落地安全標(biāo)準(zhǔn)、提升開(kāi)發(fā)效率、控制項(xiàng)目風(fēng)險(xiǎn)，構(gòu)建符合國(guó)際標(biāo)準(zhǔn)的高質(zhì)量軟件體系。