代码编织梦想

西门子瑞士股份有限公司拥有5,900名员工,为超过3万名客户提供服务。由于提供的解决方案包括支持人工智能(AI)和用于数字转型的开放平台应用程序,以及可以监控和优化建筑性能的基于云的高级分析,所以保护代码的安全毋庸置疑是首要任务。
他们需要一款能与公司现有系统的开发生命周期和工具链集成,并扩展其能力的工具,还必须拥有全面的许可证覆盖范围,最终,他们决定部署Mend。阅读本文,您将了解到Mend如何帮助西门子加快反馈循环,应对快速发布节奏的挑战。
龙智作为DevSecOps解决方案提供商、Mend(原WhiteSource)授权合作伙伴,始终关注开源代码安全问题,致力于帮助您将“安全”理念真正落地在DevOps的实践中。欢迎联系我们,了解如何通过SCA工具Mend解决开源代码安全问题。
在这里插入图片描述
在这里插入图片描述

西门子瑞士股份有限公司是全球科技巨头西门子股份有限公司在瑞士地区的实体公司。西门子瑞士股份公司为能源、物流、交通、医疗保健和建筑等多个行业提供技术解决方案。该公司主要通过降低建筑的运营成本、风险和环境影响,来帮助客户提高能源效率和可持续性。该公司的技术充分利用建筑数据来优化能源消耗、性能、质量、采购和供应。

它的解决方案包括支持人工智能(AI)和用于数字转型的开放平台应用程序,以及可以监控和优化建筑性能的基于云的高级分析。该公司已经为各种类型的建筑——教育设施、医院、可持续数据中心、工作空间、智能办公室、酒店、历史建筑和博物馆成功提供了解决方案。西门子瑞士股份有限公司拥有5,900名员工,为超过3万名客户提供服务。

面临的挑战

马库斯·莱特纳是西门子瑞士公股份有限公司云解决方案的工程师,也是国际云平台团队中的一员,该平台主要提供建筑能耗的数据洞察和分析。保护代码毋庸置疑是首要任务,该团队使用了多种工具,包括内部漏洞管理软件以及许可和版权许可程序。然而,团队在管理公司使用的大量开源软件时遇到了困难。他们使用手动过程来识别、分析和明确软件组件和依赖关系,但由于公司使用了各种资源和语言(至少8种,包括C、C++、c#、Go、Java、JavaScript、Python和Ruby),这个任务变得很复杂。不出所料,团队被这种缓慢、繁琐和昂贵的手动过程所困扰,管理变得更困难了。

马库斯和他的团队希望减少手动工作量,提高扫描和修复漏洞的自动化程度。马库斯总结了这个挑战:“我们所使用的开源软件数量太多,手动扫描和修复缓慢且麻烦。我们需要通过减少手动工作量,提高自动化程度来加快漏洞管理的流程。”

为了构建一个更简单的流程,该团队想要一个可以轻松地与公司现有系统的开发生命周期和工具链集成,并扩展其功能的工具。它还必须拥有全面的许可证覆盖范围,让团队能够全面地了解他们的软件组成。解决方案还要能根据团队需要配置的策略与后端进行良好的沟通,确保他们能够控制开发流水线。最后,他们希望从供应商处获得重要的技术支持和可靠的业务关系。

“手动扫描和修复我们所使用的大量的开源软件既慢又麻烦。我们需要通过减少手动工作量,提高自动化程度来加快漏洞管理的流程。”

西门子为什么选择Mend解决方案

马库斯和他的团队组建了一个跨职能的评估团队来研究解决方案,其中包括法务和业务部门。经过概念验证后,该公司在2019年部署了Mend SCA。

速度是问题关键所在。正如马库斯所说,“我们从Mend中获得的最大价值是快速的反馈循环,它使我们的开发者能够快速响应任何漏洞或许可问题。当一个漏洞或许可证被忽视或屏蔽,并且违反了政策时,他们会直接得到反馈。”

在软件开发生命周期的早期快速检测组件中被禁止或屏蔽的许可证,也是非常重要的。Mend SCA使团队能够快速、轻松地生成软件材料清单(SBOM),识别潜在且棘手的法律问题,所以他们可以轻松避免这些法律问题。

易于使用也是一个重要的考虑因素。让现有的团队成员使用新的软件通常需要一个学习教育的过程,所以Mend的易用性对马库斯和他的团队来说是一个关键的因素。Mend的仪表板使结果清晰透明,易于理解,而且容易操作。

“我们从Mend中获得的最大价值是快速反馈循环,它使我们的开发人员能够快速响应任何漏洞或许可问题。当一个漏洞或许可证被忽视或屏蔽,并且违反了政策时,他们会直接获得反馈。”

Mend给西门子带来了什么?

部署Mend SCA的主要目的是为了在扫描、识别和修复漏洞时节省时间和资源,同时提高了许可合规性。马库斯说,自从他的团队与Mend合作以来,这个过程已经大大加快,他强调了能够实现这一目标的重要原因之一,是Mend能够直接指向受影响的库。

马库斯说:“有了Mend,安全流程已经左移,这样开发者就可以快速得到反馈并做出反应。它大大提高了速度,避免了旧方法繁琐的手动重复工作。现在,我们能够以一种更敏捷的方式在sprint中工作。由于从Mend获得结果的速度显著提高,我们现在可以应对快速发布节奏的挑战。” 在某些情况下,以前可能需要几天或几周的时间,现在只需要几个小时或几分钟。

Mend带来的效果不仅限于速度,它已经被团队和公司积极地采用。当Mend在2019年首次在西门子瑞士股份有限公司部署时,只有60个许可证。在接下来短短两年多的时间里,这一数字已经增长到200个许可证,跨越了组织内的10个流(Streams)。马库斯列出了迅速采用Mend的几个原因:首先,他的团队对使用Mend SCA很满意。其次,他们认为Mend非常全面。第三点不需要过多解释,那就是易用性,Mend有一个可以让他们能快速上手的UI。最后,为他们创造了一种无缝的体验,在常规工作流程中就可以使用Mend。

事实上,马库斯指出,访问Mend SCA是新开发人员加入其团队时首先要做的事情之一。

Mend——您编码,我修复

Mend,原WhiteSource,可以轻松地保护开发人员创造的内容。Mend以其独特的方式消除企业对应用程序安全的负担,让开发团队能够更快地交付高质量、安全的代码。在满足复杂和大规模应用程序安全的需求方面,Mend的口碑一向很好,所以要求严苛的软件开发人员都信赖Mend。Mend拥有超过1000家客户,其中包括25%的《财富》100强公司。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49715102/article/details/127846749

九大最新热门it技术 把把都是双刃剑_weixin_34168700的博客-爱代码爱编程

你应当把这些技术看成给人安全而不是让人扫兴的技术。要积极地调查研究虚拟化、企业搜索和智能电话等新兴技术。你不能因为下面这些问题而保持现状、不敢采用这些新技术。要有所准备,然后一往无前。 一、智能电话带来越来越大的风险 还没有谁因为使用“黑莓”智能电话而被炒鱿鱼。 这是空洞无物的安慰人的想法。你可能不会因选择“稳妥的”智能电话被炒鱿鱼,但没

中国工业管理软件如何突围?-爱代码爱编程

目录 1 前言 1.1 概述 1.2 范围 2 MES(MOM)的由来 2.1 普渡大学提出PERA 2.2 AMR是什么组织? 2.3 MESA组织成立目的 2.4 ISA的历史 2.5 ISA对MOM的

Linux or QNX ?-爱代码爱编程

Linux大家可能都比较熟悉了,我们先来看一下QNX的简介。 QNX简介 关于QNX名字的由来有一则趣事:Gordon Bell和Dan Dodge在1980年成立了Quantum Software Systems公司,他们根据大学时代的一些设想写出了一个能在IBM PC上运行的名叫QUNIX(Quick UNIX)的系统,直到AT&T发律师函

物联网开源组件安全:Node-RED白盒审计-爱代码爱编程

文|腾讯研发安全团队 Spine、martinzhou 背景 Node-RED是IBM开源的低代码物联网编排工具,在物联网领域有广泛应用,包括研华WISE PaaS、西门子Iot2000、美国groov EPIC/groov RIO等工业IoT硬件也都预装了Node-RED。此外,它亦常被作为低代码开发平台使用。 A large prop

105K Star的GitHub项目再陷风波,其托管商惨遭三大唱片公司起诉-爱代码爱编程

最近,声称为开发者“挺身而出”,在GitHub上拥有超十万星的高星项目youtube-dl正深陷起诉风波。目前,围绕这个开源项目长达数年的争议已经转移到了一个新的层面,其网站托管商Uberspace在德国遭到了索尼、环球和华纳三大唱片巨头的起诉。 youtube-dl实际上是一个为其他程序提供各种功能的软件库,除了下载使用外,也可以通过命令行直接使用

Okta CEO 改口证实第三方账户受陷且影响客户,LAPSUS$扬言发动供应链攻击-爱代码爱编程

 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全

利用中继攻击解锁并开走汽车,本田不打算修复(含视频)-爱代码爱编程

 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现了影响本田和讴歌汽车的“中继攻击”漏洞(CVE-2022-27254),可导致附近黑客解锁汽车,甚至近距离启动引擎。黑客可捕获遥控钥匙发出的RF信号并重新发送这些信号,控制汽车的远程无钥匙进入系统。 研究人员表示老旧款汽车中仍未修复该漏洞,不过本田车主可采取一些措施防御

两万字详解自动驾驶开发工具链的现状与趋势-爱代码爱编程

划重点: 1.车企自研自动驾驶系统成为趋势。 2.基于MBD的开发流程已经不能满足自动驾驶系统开发需求,需引入数据驱动的端到端的开发流程。 3.开发工具链的效率决定了整个系统开发的效率,工具链需要和pipeline数据流结合,当前工具链普遍存在割裂和“数据孤岛”现象。 4.数据处理是数据驱动的基石:智能化数据采集势在必行,数据标注的外包化和对

欧姆龙修复PLC编程软件中的多个高危漏洞-爱代码爱编程

 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 摘要 日本电子巨头欧姆龙最近修复了 CX-Programmer 软件中的多个高危漏洞,它们可用于执行远程代码。 日本JPCERT/CC 本月初发布安全公告指出,该产品受5个释放后使用和界外漏洞,它们的CVSS评分均为 7.8。 CX-Programmer是欧姆龙 CX-One 自动

Crypto思潮编年史 ,从1997 到 2022-爱代码爱编程

人们不会为技术买单, 而是会为承载着技术和创新的故事买单. Crypto 的繁荣的关键不在于这是多新颖的技术, 而是背后将传统革新, 将中心化秩序推翻, 对经济艺术政治重新思考的思潮. 在本文我们会以时间顺序重新回顾在 Crypto 发展史中那些重要的 “故事”. 本文一共探讨了约 40 篇文章, 全文字数约 1.5 万字, 推荐阅读时间约 5

无胁科技-tvd每日漏洞情报-2022-11-8_无胁科技blog的博客-爱代码爱编程

漏洞名称:D-Link DIR-823G 命令注入漏洞 漏洞级别:严重 漏洞编号:CVE-2022-43109;CNNVD-202211-1987 相关涉及:D-Link DIR-823G v1.0.2版本 漏洞状态:POC 参考链接:https://tvd.wuthreat.com/#/listDetail?TVD_ID=TVD-2022-21445

xss进阶一_chumeng19990324的博客-爱代码爱编程

目录 实验目的预备知识实验环境实验步骤一实例一、热身运动,不设防 实验步骤二实例二、小写不行,就大写吧 实验步骤三实例三、大写小写都不行,看你怎么办? 实验目的 1.深入理解xss工作原理。 2.

2021年信息安全工程师真题与答案-爱代码爱编程

1、常见的信息安全基本属性有:机密性、完整性、可用性、抗抵赖性和可控性等。其中合法许可的用户能够及时获取网络信息或服务的特性,是指信息安全的()。 A.机密性 B.完整性 C.可用性 D.可控性  参考答案:C 2、2010年,首次发现针对工控系统实施破坏的恶意代码 Stuxnet(简称“震网”病毒),“震网”病毒攻击的是伊朗核电站西门子公司的( )系统

2021年下半年软考信息安全工程师上午选择题及解析_包过滤防火墙只能基于ip层过滤网站恶意包-爱代码爱编程

信安考试常见问题交流 常见的信息安全基本属性有:机密性、完整性、可用性、抗抵赖性和可控性等。其中合法许可的用户能够及时获取网络信息或服务的特性,是指信息安全的  (1) 。 (1)A.机密性      B.完整性      C.可用性     D.可控性 (1)参考答案:C 试题分析:该知识点在2016年考察过。可用性是指合法许可的用户能够

对可编程控制器的专有协议进行模糊处理找到影响物理控制相关的漏洞_a worm living solely in the plc-爱代码爱编程

对可编程控制器的专有协议进行模糊处理找到影响物理控制相关的漏洞 原文 Fuzzing proprietary protocols of programmable controllers to find vulnerabil