作为网络安全行业风向标的RSAC大会于美国时间2月24日至28日在旧金山如期召开。

基于参会人的关注热度，RSAC发布《RSAC 2020趋势报告》，其中DevSecOps相关内容再次成为大家关注的焦点之一。在RSAC2020创新沙盒大赛上，十家初创公司中有半数企业聚焦应用安全，可以见得DevSecOps落地已成为大趋势。

DevSecOps的优势在于它能够缩短实现更高标准的自动化时间长度，减少因决策失误带来的风险和一般情况下操作错误导致系统宕机或遭受不同程度攻击等问题；更为重要的是，DevSecOps强调不能仅关注运行时的安全解决方案，需要让开发、测试等各个环节贯穿整个安全全生命周期，从而构建安全、高效、合规的全生命周期安全保障体系。

发现漏洞，DevSecOps的重要环节

在实施DevSecOps的过程中，发现漏洞，避免安全隐患是博弈的关键。通过加强内部安全测试，主动搜寻安全漏洞，及时修复漏洞、控制风险，从而实现与业务流程的良好整合。

上海控安自主研发国内首款同时支持源代码与二进制文件的漏洞扫描工具，协助用户/企业对应用程序中所使用的第三方组件提供详细的分析与见解，使用户能够更主动的去管理这些，因使用第三方组件所带来的安全与合规风险。是有效实现DevSecOps关键里程碑的重要一环。

需求与痛点

• 开源组件以及漏洞的日益增加
• 开源组件许可证受限问题
• 过度依赖人工排查，漏洞修改繁琐

方案价值

源代码与二进制文件的漏洞扫描工具——SmartRocket Scanner可自动化提供漏洞扫描和修复建议。

• 支持10+种程序语言和20+种不同格式的二进制文件
• 误判率＜7%，C/C++准确率高达95%
• 可视化管理，提供知识图谱，组件依赖关系图

将安全技术前置在开发、测试阶段，贯穿于软件开发的整个生命周期，一直是上海控安研发布局的核心理念。前置安全可大大提升应用本身的安全性，在最早阶段、以最低成本解决最大比例的安全风险，可实现“安全即代码、治标亦治本”的安全目标。