023-68661681
返回
在将DevSecOps应用到实际项目开发中时,“安全”不是软件开发过程中的一个独立阶段,它需要贯穿到开发流程的各个阶段。嵌入式代码测试工具Parasoft C/C++test的核心优势在于提供了统一的测试引擎和策略配置,并将其嵌入到从开发到交付的软件测试全流程的关键节点中,实现了“一次配置,处处运行”。
>>点击获取Parasoft C/C++test试用
一、开发阶段(IDE)的防护
在开发者编写代码的瞬间,Parasoft C/C++test的测试引擎即在其IDE中开始工作。
- 实时反馈与快速修复: 提供即时警告和修复建议。
- 本地策略一致性: IDE中的测试规则与中央服务器保持同步。 确保开发者本地测试的结果与后续流水线检查的结果一致。
二、构建集成阶段
代码集成到版本库后,Parasoft C/C++test在构建服务器(如Jenkins, Azure DevOps)上触发更全面、更深度的测试。
- 全面测试与测试增量: 执行比本地IDE更耗时、更严格的全面扫描,并能测试本次提交与上一次构建之间的增量代码。
- 与构建流程集成: 测试任务可作为构建脚本的一部分自动运行。将安全测试彻底自动化,使其成为持续集成(CI)中一个不可或缺的环节,无需人工干预。
三、持续交付阶段
在CI/CD流水线中,Parasoft C/C++test作为自动化流水线中的一个关键质量关卡。
- 可强制执行的质量策略: 可以设定自动化的执行策略,这是“安全左移”的体现,确保任何不满足预设质量与安全基准的代码都无法进入生产环境,将风险阻挡在发布之前。
- 快速反馈: 一旦流水线中的测试失败,通常通过CI/CD工具通知到代码提交者。让开发者能立刻在IDE中定位并修复问题,保持了DevOps的敏捷性。
四、中央管理平台的统一治理
Parasoft C/C++test提供强大的中央管理平台,实现软件测试全流程的统一治理。
- 策略与规则的统一管理: 安全团队在中央平台统一配置、更新和测试策略(规则集)、质量门禁阈值,并一键同步到所有IDE和构建/流水线节点。
- 全局状态监控: 平台汇聚所有环节的测试结果,提供全局视角。管理者可以清晰地看到有多少Bug在IDE中被解决,有多少流入了构建阶段,又有多少被流水线的质量门禁成功拦截。
典型行业案例
(1)遵循严格合规的金融核心系统迭代
银行需要频繁更新其移动应用和后台系统,且必须满足行业监管要求。开发团队在IDE中遵循内置的CERT和CWE规则。每次构建生成的合规报告被自动归档。使用Parasoft
C/C++test时,在通往生产环境的发布流水线中,会设置强控关卡,确保任何一次迭代都符合风控要求。所有流程的审计日志均被Parasoft C/C++test记录,用于应对银保监会的检查。
(2)汽车软件的OTA升级包验证
车企通过OTA(空中下载)为车辆更新软件。在构建用于OTA的软件升级包后,会在CI/CD流水线中自动触发一次全面的、基于CERT和AUTOSAR标准的测试。在这一过程中,Parasoft
C/C++test 作为关键质量门禁,对软件包进行静态和动态测试,确保只有通过所有安全和质量检查的版本才会被自动签名并推送到OTA发布服务器。基于Parasoft的自动化测试能力,该流程保障了每次推送至车辆更新的可靠性,从而满足功能安全与信息安全的严格要求,确保路上行驶的车辆始终运行在经过充分验证的软件版本上。
Parasoft
C/C++test的嵌入式测试架构,在于“治理集中化,执行分布式”。它通过统一引擎和统一策略,将安全能力无缝注入现代软件开发的全链路,既赋予了开发者在最早阶段发现并解决问题的自主权,又为管理者提供了强制执行安全策略、保证最终交付产物合规可控的硬性手段。平衡了DevOps所追求的“速度”与安全不可或缺的“稳定性”。
关于慧都
慧都是一家行业数字化解决方案公司,专注于软件、石油与工业领域,以深入的业务理解和行业经验,帮助企业实现智能化转型与持续竞争优势。在软件工程领域,我们提供开发控件、研发管理、代码开发、部署运维等软件开发全链路所需的产品,提供正版授权采购、技术选型、个性化维保等服务,帮助客户实现技术合规、降本增效与风险可控。
慧都科技作为Parasoft公司在中国区的官方授权合作伙伴,凭借对国内各行业合规要求与研发实践的深刻理解,为企业提供Parasoft C/C++test产品的正版授权、定制化部署与全周期技术服务,助力客户精准落地安全标准、提升开发效率、控制项目风险,构建符合国际标准的高质量软件体系。
发表评论