在當今軟件開發中，幾乎離不開開源組件。軟件公司也在尋求有效的解決方案，以方便團隊管理在應用和容器中使用開源和第三方代碼所帶來的安全、質量和許可證合規性風險。多年來，許多公司一直采用Black Duck? 軟件組件分析 （SCA），將開源治理集成至 DevSecOps 并實現自動化， 預防并管理開源風險。Avira軟件公司是其中一家。

　　Avira背景介紹

　　自1986年以來，Avira Operations GmbH&Co. KG提供安全、私密、性能出色的軟件組合，在同類產品中脫穎而出。Avira是一家跨國計算機軟件公司，開發用于臺式機、移動設備和智能家居的產品，提供免費升級及高級版本。

　　挑戰：保證DevOps速度，確保開源軟件安全

　　開源軟件已成為常態，在技術和非技術公司中都很常見。如今，開源已成為每個行業幾乎所有應用程序的基礎。盡管開源的普及和采用量激增，企業通常仍然無法有效地管理其安全性。

　　新思科技（Synopsys）每年都會發布《開源安全性和風險分析報告》，洞悉開源安全性、合規性和代碼質量風險的當前狀態。2020年報告發現，在經過審核的1,253個應用中，有99%包含開源代碼，而這些代碼庫中有75%包含漏洞。顯然，這顯示了開源代碼的優勢以及缺乏開源代碼漏洞管理。

　　開源安全的需求日益增長。隨著企業轉向敏捷的DevOps開發周期，安全解決方案必須能夠充分擴展并保持同步。

　　Avira等企業想要提供行業領先的軟件產品，就必須使用安全可靠的代碼。因此，他們必須將強大的安全解決方案納入其軟件開發生命周期中，以便充分管理開源。

　　Avira信息安全官Marian Schneider指出，Avira DevOps流程中的關鍵挑戰包括：產品復雜性不斷增加、市場法規增加以及需要替代手動流程。這些挑戰驅使Avira尋求一種跟上其DevOps需求并保持其規模的開源安全解決方案。

　　Marian Schneider表示：“從DevOps方面來看，開源安全變得越來越重要，Avira開始在市場上尋找集成到DevOps管道中的工具。”

　　解決方案：新思科技應用安全測試工具

　　Avira采用了新思科技BlackDuck?軟件組成分析（SCA）解決方案來幫助保護其開源資源，并確保安全措施不會減慢開發速度。 Black Duck是一種全面的SCA解決方案，用于管理在應用程序和容器中使用開源的安全性、許可證合規性和代碼質量風險。

　　為了擴展DevOps渠道和產品套件，Avira大規模采用了Black Duck。所有開發團隊在所有Avira產品中都部署Black Duck，并且經常進行掃描。Avira在每個主版本發布和/或構建中都啟用Black Duck。

　　當被問及為何Avira選擇Black Duck SCA時，Marian Schneider解釋道：“摘要掃描（合規端）、安全信息以及從DevOps端集成到DevOps流程中。 Black Duck概念驗證表明，它發現并顯示了問題，提供Avira所需的信息。”

　　效果：簡化安全工作，加強溝通

　　Marian Schneider表示：“安全是一種權利，而不是特權。所有客戶都有獲得安全軟件的權利，而不是專屬于某些人或者產品。”

　　在實施Black Duck之前，Avira的開源風險是通過兩種方式進行管理的：通過Confluence和Jira處理許可證，并使用基于文檔化的第三方庫自定義Python腳本處理通用漏洞披露（CVE）。這些脫節和孤立的流程無法擴展或與Avira的DevOps管道保持同步。Avira需要一個能夠保持開發速度的綜合解決方案。

　　Marian Schneider指出，部署Black Duck給Avira帶來許多好處，其中最重要的是在DevOps中增加了自動化流程和集成工具。

　　她說：“現在，開源的安全性和合規性已深深地嵌入到開發過程中，而不是由合規性團隊進行管理。”

　　Marian Schneider發現Black Duck提供了更高的可擴展性，消除了對手動操作的需求，并且提升員工對開源代碼安全重要性的整體意識。而且，Black Duck帶來了意想不到的好處：“隨著意識的增強，開發人員與法律部門之間的交流增加了”。

　　憑借Black Duck SCA，Avira確保了開源安全，其產品擁有可靠的安全性，表現出色，進一步鞏固了其領先的行業地位。