坚持客户第一!

于 2021-09-17 18:12:18 发布
阅读量162 收藏
点赞数
文章标签: 软件开发 产品经理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xcalibyte/article/details/120354266
版权

本文作者:陆琰雯
鉴释产品经理,加州大学洛杉矶分校MBA,香港大学计算机科学硕士,在财务、战略以及科技产品管理方面都有着较为丰富的经验。现在在鉴释主要负责产品设计、开发与发布。

近年来,越来越多的企业开始关注代码安全问题。在软件开发过程中,越早开始检测到代码安全隐患,越早修复这些隐患,就可以更多地帮助企业节省成本、节约人力以及推动产品的发布上市。

 

在这样的背景下,代码安全分析工具开始受到越来越多用户的关注,企业开始尝试使用代码安全分析工具,而随之而来的也有各种不同的用户反馈。在用户对于代码安全分析工具的使用反馈中(Gartner, 2021),一部分意见认为代码安全分析工具仍需改进,这些意见可能来源于代码安全分析工具的功能或使用上的局限,总结概述其中的一些意见包括:

  1. 代码安全分析工具的使用学习成本较高,而客户支持相对薄弱(譬如:没有充分的用户培训,客户支持部门回复慢等)
  2. 代码安全分析工具的初始设置、扫描使用以及维护升级,都比较复杂
  3. 用户界面(包括扫描结果显示界面)通常是一个需要不断改进的方面
  4. 缺乏和IDE更直观有效的整合(譬如:扫描结果不能直接从IDE中查看)
  5. 扫描速度比预期的要慢
  6. 扫描结果报告通常只列示基本扫描信息,而通常定位以及修复缺陷会需要更精确细致的扫描信息
  7. 大量未经筛选的扫描结果对于用户来说不容易使用及分析

鉴释的目标是希望代码开发变得更高效,提升代码的质量和安全,轻松确保代码安全。爱科识(鉴释的一款静态代码安全分析工具)作为鉴释的第一步,希望不仅容易使用并且能为用户带来效用。而鉴释为完成这样的目标,会一直与客户保持跟进,不仅会详细了解客户的软件开发流程,并且会不断听取用户的使用体验,包括:1)代码分析能否融入客户的软件开发流程中,是否会增加繁杂的操作步骤?2)扫描过程是否简单容易操作? 3)用户界面如何改进才能帮助用户更快获取有效的扫描信息以帮助定位修复缺陷?

在此分享一些鉴释不断改进用户体验为客户使用代码安全分析工具带来更多效用的实际案例。 

客户A主要需求如下:

1. 每天会通过CI/CD流程在同一个扫描项目下不间断地产生大量(几百个)扫描任务,但只有最后一次扫描任务的结果才会在扫描项目的界面上展示,其他扫描任务的结果若未及时查看则会被覆盖而无法查看

2. 主要查看每次提交后的增量结果以及需要快速定位缺陷

3. 进一步简化通过CI/CD配置扫描任务的过程

鉴释的销售、客户支持以及产品部门在听取并理解了客户A的主要使用需求后,从用户实际使用体验以及使用目标为出发点,同研发部门的同事立即展开方案的讨论,如何尽快又高质量地在产品中尽量满足用户需求,为了兼顾质量与研发时间,一些方案需要通过分阶段实施来达到最终的使用目标。在讨论及确定方案的过程中,鉴释团队继续同客户保持沟通,以确定客户对将要被实施的方案及预期的使用效果是满意的。鉴释非常重视用户的使用体验,为解决客户实际使用需求积极投入时间和资源,不断改进及充实产品,期望爱科识能真正为客户带来效用。

解决方案:

1. 第一阶段:每次扫描任务都会在CI/CD界面以及邮件中提供扫描结果概要,即使用户未来得及点开结果页面查看扫描结果,都不会因为被之后扫描任务的结果覆盖而无法查看,用户的需求基本得到实现。第二阶段:每次扫描任务的结果都会显示在结果页面上,并根据扫描提交时间排序,点击任一扫描日期下的扫描任务,就可以查看对应的扫描任务结果。用户也可以根据commit ID 定点查找对应的扫描结果。这样用户不需要回到CI/CD界面或者邮件中去查找,也能轻松查看某次扫描任务的结果。

2. 爱科识一直以来不仅提供扫描结果的全量显示,并且提供增量显示的结果,以方便用户查看某次提交后的扫描结果。此次根据用户需求改进了增量显示结果,首先区分了新增、修复以及未修复的缺陷,使得用户可以快速查找到对应类别下的缺陷。并且增加了首次产生以及修复缺陷的时间,这样用户可以根据缺陷类型及位置来查找是哪一次的提交产生或者修复了该缺陷,并由此来确定委派查看修复该缺陷的最佳人选。

3. 爱科识支持使用Jenkins作为扫描入口,但使用过程中需要在每个表单中填写或勾选信息来配置扫描任务,最后扫描才能开始。依据用户需求,爱科识在之后推出的产品中进一步改进了扫描配置步骤,将一大部分需要用户手动填写的信息浓缩成一行命令行输入,减少了需要用户一行一行填写或勾选的内容信息,方便了扫描配置过程,使用户可以快速方便地使用爱科识。

在分阶段实施了解决方案之后,客户A的需求得到了响应,作为代码安全检测产品的易用性得到明显的提升,力求完成代码及软件高质量的交付。

鉴释会继续以客户满意为重要目标,积极地同客户保持沟通,倾听使用的体验和意见,为完善鉴释的代码安全检测及其使用效用不断努力。

参考:Gartner: Magic Quadrant for Application Security Testing (May 2021)

点击查看更多客户案例研究

鉴释
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
OS2ATC 2024 | 活动即将开始,火热报名中!
02-21 177
大会将围绕“Al and system、硬件、内核、RISC-V架构、ARM架构、龙芯架构、编程技术、RUST、智能汽车和机器人、AIOT、云原生、虚拟化”等主题展开分享和讨论。已经连续举办了十届,在促进我国操作系统相关教学、研究与产业的发展、加强学术交流、展示产业界成果、展开跨学科的交流等方面已经卓有成效。
博客
OS2ATC|开源操作系统年度技术会议10周年
03-15 758
今年是OS2ATC大会10周年,我们继续邀请国内一线的操作系统专家和团队领导围绕如何“开源创新”进行深入探讨。
博客
开源操作系统年度技术会议演讲PPT下载来啦
01-14 336
由中科院软件所主办,清华大学、北京大学以及鉴释科技承办的第九届开源操作系统年度技术会议(OS2ATC)上个月圆满落下帷幕。感谢各位观众对此次会议的关注!目前,会议各个会场的演讲PPT已整理完毕,欢迎下载。关注“鉴释”公众号,回复关键词 “OS2ATC”即可获得百度网盘下载链接。视频回放(进入页面后可点击“更多精彩”观看其它分会场视频回放):OS2ATC 2021主会场-CSDN直播https://live.csdn.net/room/csdnnews/RH4YIjic图片直播:https:/
博客
鉴释人物丨专访解决方案负责人卜祥敏:直击业务痛点,赋能客户高效业务逻辑
10-18 2252
从家门口的智能门锁到路上驰骋的自动驾驶车辆,人工智能、区块链、5G等新技术不断推动物联网的快速发展,在这背后离不开底层代码及技术架构的支持。那么软件开发人员如何快速识别代码缺陷和安全隐患?卜祥敏,鉴释解决方案负责人,专注于客户解决方案并推动鉴释的客户成功。2007年从北京航空航天大学软件工程硕士毕业后,加入Business Objects担任BI顾问。随后加入了SAP、IBM,曾任NLP技术公司的主管,在业务咨询和销售管理方面积淀十余年经验。我们邀请鉴释解决方案负责人卜祥敏为大家分享鉴释是如何.
博客
回顾|鉴释梁宇宁在嵌入式技术大会发表WASM安全性演讲
10-12 270
ELEXCON深圳国际电子展暨嵌入式系统展是港澳大湾区最大的电子类专业展览会,打通“智能设计-嵌入式系统-SiP系统级封装-供应链升级-AIoT生态圈”产业环节、面向电子工程师和嵌入式开发者的一场嘉年华盛宴。首日就突破2.6万观展人数。鉴释有幸受邀,CEO兼创始人梁宇宁在同期举行的中国嵌入式技术大会上,作为演讲嘉宾分享和讨论了基于WebAssembly (WASM) 技术在嵌入式领域的开发方法,包括WASM的优势、背景和工作原理;WASM面临的各项挑战及未来的发展趋势。从2015年开始...
博客
直播回顾 | seL4 基金会主席谈物理系统安全工程实践
09-23 290
9 月 16 日下午,seL4 基金会主席、悉尼新南威尔士大学教授 Gernot Heiser,以及鉴释 CEO 梁宇宁,围绕下一代汽车操作系统微内核 seL4,在直播间分享了 seL4 的验证故事及其实际的工程实践,此次直播是中英双语进行,也体现了鉴释的国际化趋势。Gernot Heiser 教授开创了大规模系统代码形式验证的先河,特别是 seL4 微内核的设计、实现和形式验证。现在,这项设计被用于自动驾驶汽车、医疗设备、物联网系统和关键基础设施建设。seL4 微内核是世界上第一个具有实现正确性.
博客
【预告】网络研讨会|下一代汽车操作系统微内核seL4:seL4基金会主席谈物理系统安全工程实践
09-15 1853
seL4 微内核是世界上第一个具有实现正确性和安全执行的数学、机器检查证明的操作系统(OS)内核。它在Arm和RISC-V处理器上的全面证明仍然是独一无二的。它也是开源的、免费使用的性能基准,并得到中立的、非营利的 seL4 基金会的支持。多年前,它已在军用自主空中和地面车辆中得到证明,现在正被设计用于自动驾驶汽车、医疗设备、物联网系统和关键基础设施。目前,包括鉴释在内,已有多家自动驾驶、芯片等独角兽企业加入seL4基金会,例如理想、蔚来、莲花汽车、地平线等,共同推动seL4微内核的发展。(查...
博客
直播回顾 | 做一个有格局的工程师
09-03 373
9月1日晚,鉴释科技CEO梁宇宁做客“极客时间”首席内容官小盖的直播间,畅聊如何做一名有格局的工程师。直播中,他详尽分享自己在计算机行业的从业历程以及创立鉴释科技的初衷。从业历程和创业初衷梁宇宁先生首先回顾分享自己在创立鉴释之前的求学和从业经历。作为新加坡的南洋理工大学的研究毕业生,他有幸加入全球最大数字与信息技术产品生产商美国施乐公司(Xerox Corporation),负责图像处理和复印机技术直至2005年,并在此期间掌握制作复印机的所有功能。此外,他曾在三星、诺基亚、华为等多家世界5
博客
CERT和CWE之间有什么联系?
08-26 3317
高达90%的软件安全问题是由编码错误引起的,这就是实践安全编码规范必不可少的原因。本文将讨论编码标准其中的两种:CWE和CERT,并解释它们之间的联系。CWE常见缺陷列表“CWE™️是由社区开发,有关软件和硬件缺陷的类型列表,界定安全有关的词汇、作为安全工具的衡量标准,以及识别漏洞、修复和预防安全隐患的基准”。因此业界对它有统一的名称和描述,利于软件分析工具识别导致安全缺陷的编码错误。CWE枚举了设计和架构缺陷以及低级编码和设计错误的清单,使开发人员更好地设计应用程序的架构。C.
博客
为什么代码会有好坏?
08-19 238
这是一个知友提出的问题。面对这样的提问,相信每个程序员都会有自己独特的经历来验证代码好坏。相对来说,什么是好代码并不是一个简单能衡量的, 但是一段“烂代码”却有一千种不同的样子。于是,我们请来了鉴释的工程师为大家深入浅出地回答这个问题:问:你见过最烂的代码长什么样子?答:与其说最烂的代码长什么样子,倒不如聊聊为什么代码有好坏?什么才是好代码?场景 1:程序员 1:代码写的太烂怎么办?程序员 2:能跑吗?能跑就没问题。程序员 1:能跑是指程序能跑,还是我能跑?程序...
博客
直播回顾 | 为什么在开发流程中应用静态代码分析工具?
08-05 201
在7月29日结束的网络研讨会上,鉴释首席科学家李隆博士详细解读了静态代码分析的原理以及它如何应用在SDLC中。此外,他还讨论了静态代码分析在实际应用中面临的挑战。静态代码分析也称为静态应用程序安全测试 (SAST),它是一组旨在分析应用程序源代码、字节码和二进制文件以识别缺陷和漏洞的技术。简而言之就是在未运行程序的情况下通过对程序的分析,发现程序中潜在的漏洞和安全隐患。当静态代码分析应用在软件开发周期时,主要有两种不同的应用场景,一种是以独立运行的方式应用在日常开发中,另一种更加主流的方式是将.
博客
鉴释宣布加入RISC-V基金会、Linux基金会、seL4基金会与IoXt联盟,旨在实现静态代码分析服务的全方位赋能
07-29 218
2021年7月19日,中国深圳——近日,静态代码工具开发商鉴释科技(下文简称:鉴释)宣布其加入RISC-V基金会、Linux基金会、seL4基金会,以及IoXt联盟四大国际非盈利组织。此次加入芯片、开源操作系统、操作系统微内核与物联网四大热门领域内的知名国际组织,标志着鉴释将把国际认可的高质量代码检测工具与行业洞察传递给国内客户,通过综合多行业视角与经验,赋能企业高效提升代码质量。其中,开源指令集架构RISC-V基金会于2015年成立,意在通过开放标准协作建立良好生态,开启处理器创新的新时代,且基金
博客
网络研讨会|为什么在开发流程中应用静态代码分析工具?
07-23 168
静态代码分析工具已经被越来越多的企业研发团队应用到CI/CD流程当中,在程序员每次提交代码的时候,自动运行代码扫描,识别可能存在的潜在漏洞,以保证在开发早期发现问题、修复问题,降低修复成本、提高开发效率。 那么静态代码分析,这样一款解放程序员生产力的工具,为什么一直以来普及比较缓慢?本期网络研讨会主讲人鉴释首席科学家——李隆博士,将为您解读静态代码分析的实现原理是什么,它面临怎样的问题,导致一些企业仍在观望阶段?本次网络研讨会,您将会了解到:静态代码的基本原理是什么? 静态代码分析现在面临的.
博客
直播回顾丨鉴释首席架构师刘新铭为您解读“第一性原则”
07-23 398
2021 年 5 月 21 日,鉴释联合创始人兼首席架构师刘新铭向广大程序开发工作者分享了他对时下大热的概念——“第一性原则”的解读,及其在程序开发设计和源代码质量中的应用。第一性原则由硅谷钢铁侠埃隆·马斯克一手带火的“第一性原则”概念,其实可以追溯到 2000 多年前的古希腊思想家亚里士多德所提出的概念:在任何一个系统中,都存在第一性原则,这个最基本的命题或假设是不能被省略或违反的。试想一下,我们是否总是倾向于学习他人经验?这并非是一种错误的方式,但如此获得的迭代发展往往是微小的,只有拨开冗杂
博客
专访丨兼容国内外市场的代码分析软件,鉴释科技帮助企业减少bug发生率
07-23 394
出品丨创业邦记者丨丁健受访者丨赵科林2021年4月19日上午11时25分左右,特斯拉展台里一女士站上Model 3车顶,连续高喊:“特斯拉刹车失灵!”引发社会热议。4月19日当日美股收盘,特斯拉股价下跌3.4%,报714.63美元,最新市值为6859亿美元。与前一交易日7100亿美元的市值相比,蒸发约241亿美元。特斯拉刹车系统是否真的失灵一事目前并未有任何官方消息。但我们不难想象一旦某家汽车企业被爆出刹车系统软件存在bug后,市场对其态度的变化。换句话说:你敢买一台刹车系统有bug
博客
我们三岁啦!
07-22 162
寒来暑往,鉴释已经三岁。三年来,我们已经累计扫描了100,000,000行代码来检查错误和缺陷。得益于我们出色的合作伙伴、客户和优秀的员工的支持,我们希望在未来能扫描更多的代码!三周年快乐!...
博客
专访|鉴释首席架构师刘新铭:让软件开发更安全、更高效
07-22 386
近日鉴释首席架构师刘新铭接受51CTO记者的专访。刘新铭分享他从业十余年来的一线开发经验,和创立鉴释的初衷。以下是采访原文:鉴释科技刘新铭:让软件开发更安全、更高效出品 |51CTO 记者 |赵立京受访者| 刘新铭随着互联网行业的飞速发展,IT从业者成为了一个备受关注的群体,“程序猿”、“码农”、“攻城狮”这些绰号中多少都带着些许的自嘲味儿,因为随着年龄的增长,他们面临着越来越窄的职业上升通道,在我国,似乎很少看到40岁以上的程序员,35岁成为了IT从业者的一道坎。刘新铭先生,...
博客
鉴释人物丨专访首席科学家李隆: 重一步业务逻辑验证,省百步漏洞补缺
07-22 226
作者:李隆博士,目前担任鉴释科技核心技术的首席科学家,专注于代码验证基础架构。近年来,随着人工智能和物联网的兴起和广泛应用,人们生活的方方面面被各种“智能”、“自动”的服务所渗透,为提供这些服务而开发的大量软件应运而生。遗憾的是,软件的质量并没有随着软件行业的大繁荣而得到明显提升,数据显示,82%的漏洞来源于应用程序;每1000行应用程序源代码中就有1个安全问题;每1400行中就有1个高危问题。软件规模、数量的大爆发也带来了漏洞数量的大爆发。面临这样的严峻考验,由鉴释自主研发的爱科识应运而生。今天我
博客
我们该如何应对日益增长的安全债务风险?
07-22 198
我们经常提到“技术债务”一词,它指的是将来需要在某个时候完成的潜在工作,因为这些工作并没有在应用程序部署之前的开发周期中完成。因为产品急需推出,通常那些原本要纳入发布版本的功能不得不舍弃,导致推出的产品功能不够全面和出色。这种方法已被采用多年,因为交付更高质量的产品非常耗时,这意味着无法按时完成任务。但是,对企业而言更重要的是“安全债务”。什么是安全债务?简单说,它是技术债务的一种变体,其原因是在软件开发过程中缺乏适当的测试,并将这项工作推迟到将来。因此,随着应用程序的不断变化和发展,安全缺陷和漏洞
博客
鉴释人物丨专访首席技术官陈新中:三十年磨一“鉴”, 打造静态代码分析行业标杆
07-22 274
陈新中,鉴释联合创始人兼首席技术官作为鉴释联合创始人兼首席技术官,陈新中领导鉴释在中国的核心研发团队,并负责静态代码分析工具的开发。这些工具都被开发人员、测试人员、质量保证专家和高级 IT 管理层用于深度源代码缺陷和漏洞的检测。01作为鉴释强大技术背后的推动力,您能简单介绍一下自己吗?陈新中:作为一名编译器开发者,我从业已30多年。说到我在编译器方面的经历,就需要在这里先解释一下:在计算机中有两种中央处理器设计模式,一种是精简指令集,另一种是复杂指令集。精简指令集是上世纪80年代初由两位教..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值