Snyk今天在其SnykCon 2020会议上宣布了名为Snyk Code的静态应用程序安全测试(SAST),其中包含该公司通过今年初收购DeepCode获得的可解释的机器学习语义代码分析引擎。该公司还宣布已扩展与Docker Inc.的联盟,成为Docker Official Images和Docker未来的内容认证计划的安全性见解的独家提供商。Docker官方映像可通过Docker Hub获得,它是166个策展的容器映像的集合,开发人员经常重复使用这些映像。
同时,Snyk今天宣布将其漏洞数据库与Datadog提供的IT监视服务以及IBM Cloud服务集成在一起。
Snyk总裁Guy Podjardny表示,Snyk代码专门针对开发人员,旨在推动采用最佳DevSecOps最佳实践。它提供对应用程序源代码,开放源代码库,容器基础结构和基础结构的可视性,以使开发人员在构建应用程序时能够更好地保护它们的安全。
该公司声称,Snyk Code的速度比传统SAST解决方案快50倍,这对于那些通常不具备IT安全团队所希望的耐心扫描代码的开发人员来说,将大大提高生产力。
Snyk Code还使用该公司精选的漏洞数据库来精选机器学习模型,以大大减少误报。它还根据平台观察到的最佳实践自动为应用程序编程接口(API)建模。
Snyk Code还设计为与CI / CD平台集成,以简化DevSecOps工作流程。
Podjardny说,Snyk不仅可以简单地生产Deep Code工具,还可以包含专门吸引开发人员而不是网络安全团队的功能。考虑到在生产环境中部署代码之前和之后需要扫描的代码量,Podjardny说,很明显,如果不使用人工智能(AI)工具扩展开发人员,DevSecOps就无法实现。
目前尚不清楚以何种速度将IT安全责任转移给开发人员。除了为开发人员提供分析代码所需的工具外,还必须更好地集成DevOps和网络安全团队当前依赖的工作流程。这是一个挑战,因为DevOps团队当前更新应用程序的速度通常超过了有限的网络安全专业人员团队保持同步的能力。网络安全团队可能需要数周的时间才能审核应用程序,然后再进行部署。