对比社区版使开发人员能够更快地编写安全代码

随着软件吞噬世界，世界面临着软件安全危机。向云技术和微服务架构等现代软件的转移对于快速创新至关重要。然而，近四分之三的开发人员表示，安全性降低了敏捷和DevOps的速度。

开发者和安全团队都不应受到指责。DevOps的速度受到了一个15年的、基于扫描的应用程序安全（AppSec）模型的阻碍，该模型是为21世纪初设计的。传统的安全工具无法跟上当今快速的开发速度或现代应用程序组合的规模。

然而，为了提高开发速度而牺牲安全性会使关键和机密的个人和业务信息面临风险—；从金融到医疗数据—；可能会中断运营，甚至导致停机。

代码扫描器无法满足现代DevOps的要求

依赖时间点扫描的传统AppSec方法受到开发延迟和高度不准确结果的困扰。扫描需要很多小时，如果不是几天的话—；对于每天多次发送代码的敏捷团队来说，这不是理想的时间表。

想象一下，一个服务于数百万客户的电子商务平台上出现了一个服务器漏洞；如果漏洞仍然存在，公司每秒钟就会损失数千美元。团队无法等待这些安全扫描完成。此外，一旦它们完成，安全结果会天真地、但无意地造成弊大于利。

不准确的发现以假阳性和假阴性的形式出现。这些都是代码扫描器的基本弱点，因为它们将开发人员的关键时间浪费在实际上根本不存在的安全问题上。

代码扫描程序无法区分误报和真报，因为它们对应用程序的运行时上下文“视而不见”，例如整个数据和控制流、内部逻辑、配置和体系结构、表示视图、库和框架以及应用程序服务器。

逃避代码扫描程序的运行时上下文包含区分误报和真实漏洞所需的关键信息。

使用安全检测转换AppSec

对比安全通过提供完全不同的方法来改变AppSec。利用现代软件开发的其他领域（如应用程序性能监视（APM））中使用的相同类型的软件检测方法，Contrast在应用程序启动时将安全传感器嵌入到打包的二进制文件中。

通过应用程序的数据流，以及其他重要的运行时上下文，会激活一个智能模式匹配引擎，从而产生准确的安全洞察。

开发人员可以专注于创建创新且安全的应用程序，而不是专注于耗时且令人沮丧的安全瓶颈和代码编写中断。Contrast创建了一个全面的AppSec平台方法，几乎消除了误报漏洞对安全警报的轰炸。

安全检测非常适合现代软件和DevOps，因为它具有可扩展性。功能测试现在也可以作为安全测试，用开发人员友好的安全产品取代昂贵的安全专家，开发延迟会加快上市时间。

现代应用程序的民主化

为了让所有开发者都能使用现代AppSec，不管他们的支付能力如何，Contrast推出了Community Edition，这是唯一一款免费的DevOps原生AppSec平台，专为开发者设计。Community Edition几乎可以完全访问Contrast的产品（评估、OSS和保护），开发人员可以获得交互式应用程序安全测试（IAST）、软件组合分析（SCA）和运行时应用程序自我保护（RASP）解决方案—；全部免费。

作为一个起点，Community Edition允许开发人员只关注修复源自自定义代码的漏洞，这些漏洞实际上与使用对比度评估有关。它还通过使用开源安全或软件组合分析（SCA）解决方案Contrast OSS，对通过开源和第三方库引入的漏洞带来的安全风险提供了无与伦比的可见性和管理。

Contrast Protect是一种运行时应用程序自我保护（RASP）解决方案，允许开发人员将检测安全性扩展到产品运行时。对比度保护使用应用程序内部的检测来监视和自动阻止对应用程序的攻击—；即使该漏洞仍然存在于自行编写的代码或开源库中。

想想看。现代应用程序安全程序的三个基本用例在一个平台中得到支持—；对比DevOps原生AppSec平台。开发者可以注册一个免费帐户，访问整个平台，并在一小时内保护他们的应用程序。

Community Edition的主要限制是，开发人员只能对一个Java或Java应用程序进行检测和保护。NET核心应用程序。此外，更广泛的编程语言支持和一些企业功能，如基于角色的访问控制（RBAC）和打包报告，都是为付费用户保留的。

开发人员可以直接使用Contrast Community Edition，将AppSec直接集成到他们已经使用的现代DevOps工具中。利用DevOps原生AppSec平台的灵活性和可扩展性，开发人员可以将Community Edition部署到多个平台即服务（PaaS）云中的一个。

他们可以首先通过聊天工具了解新发现的漏洞，为持续集成/持续部署（CI/CD）管道添加安全门，通过票务系统跟踪补救措施。

最重要的是，开发人员可以了解集成开发环境（IDE）和代码编辑器中的修复选项。

与对比门户见面

下面的截图描述了Community Edition的核心功能，旨在帮助开发人员更好地熟悉该产品及其介绍性用户界面。


Home Screen — 用户整个应用程序组合的安全状态的单一视图。开发人员会收到一个单字母等级，该等级表示他们的投资组合的总体健康状况，以及自定义代码和库使用的安全性分数。他们还可以了解修复指标、漏洞状态细分和攻击历史。


Vulnerability Grid —通过查看应用程序运行时在自定义源代码中发现的漏洞列表，深入了解特定应用程序的安全状态。该列表可根据严重性和状态进行过滤，快速描述发现的漏洞类型以及第一次和最后一次检测到的时间戳。


Vulnerability View —获得前所未有的访问权限，以获取有关应用程序运行时在自定义源代码中发现的任何漏洞的详细信息。了解到底发现了什么，了解安全风险，跟踪数据流，甚至重播HTTP请求。最重要的是，获得明确且可行的补救指导。


Open Source View —通过查看应用程序使用的所有开源和第三方库的列表，深入了解特定应用程序的安全状态。该列表可根据严重性和状态进行过滤，它给出了字母等级，指示该库的安全性，同时传达了实例化的库类的数量以及开发人员需要升级以降低安全风险的最新库版本。


Attack View — 监视针对应用程序的攻击，同时了解攻击者的IP地址、利用的漏洞和攻击时间线。使用“对比度保护”（Contrast Protect）可以自动阻止和防止这些已知和未知（零天）攻击在应用程序外围或在应用程序内部采取恶意操作之前成功。

获得创新、准确的AppSec的强大功能

传统的应用程序安全工具（如代码扫描工具）无法跟上当今快速的应用程序开发步伐，而这正是快速创新的基石。

Contrast Community Edition使AppSec民主化，使DevOps能够通过安全检测加快业务速度。开发者可以通过今天注册Community Edition获得第一手经验。立即获得一个免费帐户，并开始更快地编写安全代码。