微软公司在全球都享有盛名,拥有庞大的员工数量,其中包括了约8.5万名软件开发人员。同时,这也带来了相当多的开源代码的引入。为了保证这些开源软件包的安全,他们需要一款报警准确、易于使用,并能为修复提供可行性建议的工具。阅读本篇文章,您能了解到微软选择了什么样的工具,以及为何选择。
龙智作为DevSecOps解决方案提供商、Mend(原WhiteSource)授权合作伙伴,始终关注开源代码安全问题,致力于帮助您将“安全”理念真正落地在DevOps的实践中。欢迎联系我们,了解如何通过SCA工具Mend解决开源代码安全问题。
微软是全球最著名的公司之一。主要生产计算机软件、消费类电子产品和个人电脑,提供如云服务等相关服务。微软在全球拥有18.1万名员工,其中包括约8.5万名软件开发人员。
面临的挑战
微软的开发人员使用了很多开源软件。在微软的整个代码库中,有超过8万个不同的开源软件包被使用了超过1100万次。
为了帮助微软的85,000名开发人员能够安心地使用开源软件,微软1ES团队——一个选择和管理微软开发人员所使用的工具的团队,负责寻找最好的开源软件安全工具。他们想要一个非常准确、易于使用,并能够为修复脆弱的开源包提供可行性建议的工具。
微软为什么选择Mend解决方案
微软选择Mend有几个原因:
- **高精准度。**微软1ES团队的工程总监马格努斯·赫德伦德表示:“让开发人员失去信任最简单的方式就是给他们一个误报信息。如果出现误报的情况,开发人员就不会再使用这个工具。现在,微软依靠Mend来提供高质量的建议,而且误报率非常低。”
- **易用性。**马格努斯·赫德伦德说:“我们将修补漏洞检测直接集成到开发人员的工作流程中。开发人员无需做任何事,Mend就会自动扫描漏洞,并通知他们哪些代码易受攻击。”
- 高效的补救建议。“识别这些漏洞,并告诉开发人员他们面临这个问题,这都是很有用的,但如果不告诉他们如何修复这个问题,他们就很难提高交付质量。”如果没有补救建议,只是提高没人能处理的警报的数量,这毫无意义。Mend提供的详细补救建议,让微软工程师能够快速将他们的软件包升级到更强健的版本。”
“对我们来说,与一家紧跟行业新趋势的公司合作非常重要,要确保他们的数据是准确的。但最重要的方面之一是我们得到的数据需是可操作的。我们需要得到一套系统性的、正确的建议。”
Mend给微软带来了什么?
微软1ES安全工具组的经理布莱恩·沙利文说:“Mend在帮助识别我们哪里有潜在风险或不安全的开源软件,并尽早解决这些问题方面发挥着不可或缺的作用。我们依靠Mend提供出色的补救指导。补救指导对于帮助开发人员每次都正确地修复问题非常重要。”
微软1ES团队的主管普南·古普塔说:“与Mend公司合作是一个正确的决定。当我们有了系统的正确建议时,感觉更安心了。Mend所能提供的已经超出了我们的需求,它扩展到了我们想要覆盖的生态系统中。总的来说,与Mend公司合作是一个伟大的决定。”
Mend——您编码,我修复
Mend,原 WhiteSource,可以轻松地保护开发人员创造的内容。Mend以其独特的方式消除企业对应用程序安全的负担,让开发团队能够更快地交付高质量、安全的代码。在满足复杂和大规模应用程序安全的需求方面,Mend的口碑一向很好,所以要求严苛的软件开发人员都信赖Mend。Mend拥有超过1000家客户,其中包括25%的《财富》100强公司。
扫一扫
550
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
