在將DevSecOps應(yīng)用到實(shí)際項(xiàng)目開發(fā)中時，“安全”不是軟件開發(fā)過程中的一個獨(dú)立階段，它需要貫穿到開發(fā)流程的各個階段。嵌入式代碼測試工具Parasoft C/C++test的核心優(yōu)勢在于提供了統(tǒng)一的測試引擎和策略配置，并將其嵌入到從開發(fā)到交付的軟件測試全流程的關(guān)鍵節(jié)點(diǎn)中，實(shí)現(xiàn)了“一次配置，處處運(yùn)行”。

>>點(diǎn)擊獲取Parasoft C/C++test試用

一、開發(fā)階段（IDE）的防護(hù)

在開發(fā)者編寫代碼的瞬間，Parasoft C/C++test的測試引擎即在其IDE中開始工作。

• 實(shí)時反饋與快速修復(fù)： 提供即時警告和修復(fù)建議。
• 本地策略一致性： IDE中的測試規(guī)則與中央服務(wù)器保持同步。 確保開發(fā)者本地測試的結(jié)果與后續(xù)流水線檢查的結(jié)果一致。

二、構(gòu)建集成階段

代碼集成到版本庫后，Parasoft C/C++test在構(gòu)建服務(wù)器（如Jenkins, Azure DevOps）上觸發(fā)更全面、更深度的測試。

• 全面測試與測試增量： 執(zhí)行比本地IDE更耗時、更嚴(yán)格的全面掃描，并能測試本次提交與上一次構(gòu)建之間的增量代碼。
• 與構(gòu)建流程集成： 測試任務(wù)可作為構(gòu)建腳本的一部分自動運(yùn)行。將安全測試徹底自動化，使其成為持續(xù)集成（CI）中一個不可或缺的環(huán)節(jié)，無需人工干預(yù)。

三、持續(xù)交付階段

在CI/CD流水線中，Parasoft C/C++test作為自動化流水線中的一個關(guān)鍵質(zhì)量關(guān)卡。

• 可強(qiáng)制執(zhí)行的質(zhì)量策略： 可以設(shè)定自動化的執(zhí)行策略，這是“安全左移”的體現(xiàn)，確保任何不滿足預(yù)設(shè)質(zhì)量與安全基準(zhǔn)的代碼都無法進(jìn)入生產(chǎn)環(huán)境，將風(fēng)險(xiǎn)阻擋在發(fā)布之前。
• 快速反饋： 一旦流水線中的測試失敗，通常通過CI/CD工具通知到代碼提交者。讓開發(fā)者能立刻在IDE中定位并修復(fù)問題，保持了DevOps的敏捷性。

四、中央管理平臺的統(tǒng)一治理

Parasoft C/C++test提供強(qiáng)大的中央管理平臺，實(shí)現(xiàn)軟件測試全流程的統(tǒng)一治理。

• 策略與規(guī)則的統(tǒng)一管理： 安全團(tuán)隊(duì)在中央平臺統(tǒng)一配置、更新和測試策略（規(guī)則集）、質(zhì)量門禁閾值，并一鍵同步到所有IDE和構(gòu)建/流水線節(jié)點(diǎn)。
• 全局狀態(tài)監(jiān)控： 平臺匯聚所有環(huán)節(jié)的測試結(jié)果，提供全局視角。管理者可以清晰地看到有多少Bug在IDE中被解決，有多少流入了構(gòu)建階段，又有多少被流水線的質(zhì)量門禁成功攔截。

典型行業(yè)案例

(1)遵循嚴(yán)格合規(guī)的金融核心系統(tǒng)迭代

銀行需要頻繁更新其移動應(yīng)用和后臺系統(tǒng)，且必須滿足行業(yè)監(jiān)管要求。開發(fā)團(tuán)隊(duì)在IDE中遵循內(nèi)置的CERT和CWE規(guī)則。每次構(gòu)建生成的合規(guī)報(bào)告被自動歸檔。使用Parasoft C/C++test時，在通往生產(chǎn)環(huán)境的發(fā)布流水線中，會設(shè)置強(qiáng)控關(guān)卡，確保任何一次迭代都符合風(fēng)控要求。所有流程的審計(jì)日志均被Parasoft C/C++test記錄，用于應(yīng)對銀保監(jiān)會的檢查。

(2)汽車軟件的OTA升級包驗(yàn)證

車企通過OTA（空中下載）為車輛更新軟件。在構(gòu)建用于OTA的軟件升級包后，會在CI/CD流水線中自動觸發(fā)一次全面的、基于CERT和AUTOSAR標(biāo)準(zhǔn)的測試。在這一過程中，Parasoft C/C++test 作為關(guān)鍵質(zhì)量門禁，對軟件包進(jìn)行靜態(tài)和動態(tài)測試，確保只有通過所有安全和質(zhì)量檢查的版本才會被自動簽名并推送到OTA發(fā)布服務(wù)器?；赑arasoft的自動化測試能力，該流程保障了每次推送至車輛更新的可靠性，從而滿足功能安全與信息安全的嚴(yán)格要求，確保路上行駛的車輛始終運(yùn)行在經(jīng)過充分驗(yàn)證的軟件版本上。

Parasoft C/C++test的嵌入式測試架構(gòu)，在于“治理集中化，執(zhí)行分布式”。它通過統(tǒng)一引擎和統(tǒng)一策略，將安全能力無縫注入現(xiàn)代軟件開發(fā)的全鏈路，既賦予了開發(fā)者在最早階段發(fā)現(xiàn)并解決問題的自主權(quán)，又為管理者提供了強(qiáng)制執(zhí)行安全策略、保證最終交付產(chǎn)物合規(guī)可控的硬性手段。平衡了DevOps所追求的“速度”與安全不可或缺的“穩(wěn)定性”。

關(guān)于慧都

慧都是一家行業(yè)數(shù)字化解決方案公司，專注于軟件、石油與工業(yè)領(lǐng)域，以深入的業(yè)務(wù)理解和行業(yè)經(jīng)驗(yàn)，幫助企業(yè)實(shí)現(xiàn)智能化轉(zhuǎn)型與持續(xù)競爭優(yōu)勢。在軟件工程領(lǐng)域，我們提供開發(fā)控件、研發(fā)管理、代碼開發(fā)、部署運(yùn)維等軟件開發(fā)全鏈路所需的產(chǎn)品，提供正版授權(quán)采購、技術(shù)選型、個性化維保等服務(wù)，幫助客戶實(shí)現(xiàn)技術(shù)合規(guī)、降本增效與風(fēng)險(xiǎn)可控。

慧都科技作為Parasoft公司在中國區(qū)的官方授權(quán)合作伙伴，憑借對國內(nèi)各行業(yè)合規(guī)要求與研發(fā)實(shí)踐的深刻理解，為企業(yè)提供Parasoft C/C++test產(chǎn)品的正版授權(quán)、定制化部署與全周期技術(shù)服務(wù)，助力客戶精準(zhǔn)落地安全標(biāo)準(zhǔn)、提升開發(fā)效率、控制項(xiàng)目風(fēng)險(xiǎn)，構(gòu)建符合國際標(biāo)準(zhǔn)的高質(zhì)量軟件體系。