博客

坚持客户第一!

2021-09-14 | 作者: 陆琰雯

近年来,越来越多的企业开始关注代码安全问题。在软件开发过程中,越早开始检测到代码安全隐患,越早修复这些隐患,就可以更多地帮助企业节省成本、节约人力以及推动产品的发布上市。

在这样的背景下,代码安全分析工具开始受到越来越多用户的关注,企业开始尝试使用代码安全分析工具,而随之而来的也有各种不同的用户反馈。在用户对于代码安全分析工具的使用反馈中(Gartner, 2021),一部分意见认为代码安全分析工具仍需改进,这些意见可能来源于代码安全分析工具的功能或使用上的局限,总结概述其中的一些意见包括:

  1. 代码安全分析工具的使用学习成本较高,而客户支持相对薄弱(譬如:没有充分的用户培训,客户支持部门回复慢等)
  2. 代码安全分析工具的初始设置、扫描使用以及维护升级,都比较复杂
  3. 用户界面(包括扫描结果显示界面)通常是一个需要不断改进的方面
  4. 缺乏和IDE更直观有效的整合(譬如:扫描结果不能直接从IDE中查看)
  5. 扫描速度比预期的要慢
  6. 扫描结果报告通常只列示基本扫描信息,而通常定位以及修复缺陷会需要更精确细致的扫描信息
  7. 大量未经筛选的扫描结果对于用户来说不容易使用及分析

鉴释的目标是希望代码开发变得更高效,提升代码的质量和安全,轻松确保代码安全。爱科识(鉴释的一款静态代码安全分析工具)作为鉴释的第一步,希望不仅容易使用并且能为用户带来效用。而鉴释为完成这样的目标,会一直与客户保持跟进,不仅会详细了解客户的软件开发流程,并且会不断听取用户的使用体验,包括:

  • 爱科识能否融入客户的软件开发流程中,是否会增加繁杂的操作步骤?
  • 扫描过程是否简单容易操作?
  • 用户界面如何改进才能帮助用户更快获取有效的扫描信息以帮助定位修复缺陷?

在此分享一些鉴释不断改进用户体验为客户使用代码安全分析工具带来更多效用的实际案例。

客户A其主要需求如下:

  • 每天会通过CI/CD流程在同一个扫描项目下不间断地产生大量(几百个)扫描任务,但只有最后一次扫描任务的结果才会在扫描项目的界面上展示,其他扫描任务的结果若未及时查看则会被覆盖而无法查看
  • 主要查看每次提交后的增量结果以及需要快速定位缺陷
  • 进一步简化通过CI/CD配置扫描任务的过程

 

鉴释的销售、客户支持以及产品部门在听取并理解了客户A的主要使用需求后,从用户实际使用体验以及使用目标为出发点,同研发部门的同事立即展开方案的讨论,如何尽快又高质量地在产品中尽量满足用户需求,为了兼顾质量与研发时间,一些方案需要通过分阶段实施来达到最终的使用目标。在讨论及确定方案的过程中,鉴释团队继续同客户保持沟通,以确定客户对将要被实施的方案及预期的使用效果是满意的。鉴释非常重视用户的使用体验,为解决客户实际使用需求积极投入时间和资源,不断改进及充实产品,期望爱科识能真正为客户带来效用。

解决方案:

第一阶段:首先,每次扫描任务都会在CI/CD界面以及邮件中提供扫描结果概要,即使用户未来得及点开结果页面查看扫描结果,都不会因为被之后扫描任务的结果覆盖而无法查看,用户的需求基本得到实现。其次,每次扫描任务的结果都会显示在结果页面上,并根据扫描提交时间排序,点击任一扫描日期下的扫描任务,就可以查看对应的扫描任务结果。用户也可以根据commit ID 定点查找对应的扫描结果。这样用户不需要回到CI/CD界面或者邮件中去查找,也能轻松查看某次扫描任务的结果。

第二阶段:爱科识一直以来不仅提供扫描结果的全量显示,并且提供增量显示的结果,以方便用户查看某次提交后的扫描结果。此次根据用户需求改进了增量显示结果,首先区分了新增、修复以及未修复的缺陷,使得用户可以快速查找到对应类别下的缺陷。并且增加了首次产生以及修复缺陷的时间,这样用户可以根据缺陷类型及位置来查找是哪一次的提交产生或者修复了该缺陷,并由此来确定委派查看修复该缺陷的最佳人选。

第三阶段:爱科识支持使用Jenkins作为扫描入口,但使用过程中需要在每个表单中填写或勾选信息来配置扫描任务,最后扫描才能开始。依据用户需求,爱科识在之后推出的产品中进一步改进了扫描配置步骤,将一大部分需要用户手动填写的信息浓缩成一行命令行输入,减少了需要用户一行一行填写或勾选的内容信息,方便了扫描配置过程,使用户可以快速方便地使用爱科识。

在分阶段实施了解决方案之后,客户A的需求得到了响应,爱科识作为代码安全检测产品的易用性得到明显的提升,力求完成代码及软件高质量的交付。

鉴释会继续以客户满意为重要目标,积极地同客户保持沟通,倾听使用的体验和意见,为完善鉴释的代码安全检测产品及其使用效用不断努力。

参考:Gartner: Magic Quadrant for Application Security Testing (May 2021)
本文作者陆琰雯:鉴释产品经理,加州大学洛杉矶分校MBA,香港大学计算机科学硕士,在财务、战略以及科技产品管理方面都有着较为丰富的经验。现在在鉴释主要负责产品设计、开发与发布。

 

点击查看更多客户案例研究

推荐阅读

CERT和CWE之间有什么联系?

2021-08-26 | 作者: Tan Rahman

高达90%的软件安全问题是由编码错误引起的,这就是安全编码实践和安全编码标准必不可少的原因。本文将讨论编码标准其中的两种:CWE 和 CERT...

阅读更多

通过使用我们的网站,表明您已经阅读并理解我们的Cookie政策及隐私政策