Die führende vietnamesische Technologiegruppe FPT Software verbessert die Codequalität und -sicherheit mit den Lösungen von Synopsys

markus-spiske-hvSr_CVecVI-unsplash

Kurzbeschreibung des Herausgebers: Der führende vietnamesische Technologie- und Softwaregruppe FPT Software mit Hauptsitz in Hanoi hat die Tools für das Testen der Anwendungssicherheit von Synopsys ausgewählt, um die Codequalität und -sicherheit zu verbessern. Die Pressemitteilung des Anbieters finden Sie weiter unten.

Die FPT-Software verbessert die Codequalität und -sicherheit mit Synopsys Application Security Testing Solutions

Singapur, @mcgallen #microwireinfo, 14. Oktober 2020 - Synopsys, Inc., ein anerkannter Marktführer für Anwendungssicherheit, hat kürzlich die Unterstützung für Sicherheitstests für FPT-Software erweitert und sie bei der Identifizierung und Behebung von Softwareproblemen zu Beginn des Softwareentwicklungsprozesses unterstützt.

FPT Software bietet seinen Kunden umfassende Lifecycle-Services, einschließlich Softwaredesign, -entwicklung, -migration und -modernisierung. Das Bereitstellen von Softwarekomponenten für Client-Systeme bedeutet häufig das Arbeiten mit Legacy-Code und Architekturen, die ursprünglich nicht für moderne miteinander verbundene Umgebungen entwickelt wurden. Diese müssen streng auf die Qualität und Sicherheit geprüft werden, die moderne Anwendungen von heute benötigen.

„Das Vertrauen unserer Kunden zu gewinnen, hat für uns höchste Priorität und wir konzentrieren uns ständig auf die Verbesserung der Codesicherheit“, sagt Do Van Khac, Chief Delivery Officer und Executive Vice President bei FPT Software. „Wir sind häufig Risiken ausgesetzt, die sich aus inkompatiblem Legacy-Code und inkompatiblen Architekturen ergeben, was zu erhöhten Kosten bei der Korrektur führte. Wir haben nach Tools gesucht, um die Codequalität und -sicherheit so früh wie möglich im Entwicklungslebenszyklus zu verbessern. “

Indem Sie helfen, Softwareprobleme frühzeitig im Entwicklungsprozess zu erkennen und zu beheben, Statische Analyse der Deckung Dies beschleunigt nicht nur die Überprüfung von FPT-Code, um die Codequalität und -sicherheit zu verbessern, sondern hilft FPT auch dabei, die Notwendigkeit und die Kosten für eine spätere Behebung dieser Probleme zu senken.

Angesichts der zunehmenden Verwendung von Open Source-Komponenten und -Bibliotheken in der Softwareentwicklung forderten FPT-Kunden das Unternehmen auf, ihre Softwaretests um diese zu erweitern Software Composition Analysis (SCA). FPT implementierte Synopsys 'Black Duck SCA im Jahr 2019 und heute verwendet FPT Coverity und Black Duck für praktisch alle Tests von Softwareprojekten.

Die Entscheidung zur Implementierung einer SCA-Lösung wird durch die Ergebnisse der Bericht zur Open Source-Sicherheits- und Risikoanalyse (OSSRA) für 2020 99% der Codebasen, die 2019 vom Black Duck Audit-Team geprüft wurden, enthielten Open Source. Darüber hinaus enthielten 100% der Codebasen aus neun der 17 untersuchten Branchen mindestens eine Open-Source-Komponente.

Da die Open Source-Community Updates und Sicherheitspatches enthält, müssen Unternehmen über eine Möglichkeit verfügen, die legale Open Source-Nutzung zu identifizieren, zu verfolgen und verantwortungsbewusst zu verwalten, da sie zunehmend in kommerzieller Software präsent ist. Dies kann die Lizenzidentifizierung, einen Prozess zum Patchen bekannter Schwachstellen und Richtlinien zur Behebung veralteter und nicht unterstützter Open Source-Pakete umfassen.

Eine alarmierende Anzahl von Unternehmen, die Open-Source-Komponenten verwenden, wenden keine Sicherheitspatches an und öffnen ihr Geschäft für potenzielle Eingriffe und Exploits in die Cybersicherheit.

„Mit der Beschleunigung der Einführung von Technologien und Online-Lösungen während der Pandemie werden Unternehmen Effizienzsteigerungen bei der Anwendungsentwicklung anstreben, indem sie den verstärkten Einsatz von Open Source-Technologien nutzen. Sicherheit, Updates, Patches und Lizenzverpflichtungen können zu unerwarteten Risiken führen, weshalb die Open Source-Nutzung anders verwaltet werden muss als die kommerzielle Software “, sagte Tan Geok-Cheng, Geschäftsführer der Synopsys Software Integrity Group.

Von den für den OSSRA-Bericht 2020 geprüften Codebasen enthielten 75% mindestens eine öffentliche Sicherheitsanfälligkeit, ein Anstieg gegenüber 60% von 2018, und es wurden durchschnittlich 82 Sicherheitsanfälligkeiten pro Codebasis identifiziert. In ähnlicher Weise stieg der Prozentsatz der gefährdeten Schwachstellen im Jahr 49 auf 2019% gegenüber 40% im Jahr 2018.

Die Lösung für FPT-Software: Coverity SAST und Black Duck SCA

Coverity Statical Application Security Testing (SAST) identifiziert kritische Softwarequalitätsmängel und Sicherheitslücken, um sicherzustellen, dass der Code sicher und von höherer Qualität ist und Standards wie ISO-9001 und SEI CMMI Level 5 entspricht.

Black Duck SCA bietet FPT eine umfassende Lösung für das Management von Sicherheits-, Qualitäts- und Lizenzkonformitätsrisiken, die sich aus der Verwendung von Open Source-Code und Code von Drittanbietern in Anwendungen und Containern ergeben.

"Synopsys hat unsere Erwartungen in Bezug auf das Scannen von Code und die Verbesserung der Sicherheitsüberprüfung übertroffen." sagt Do Van Khac. „Coverity und Black Duck bieten uns Tools, mit denen wir unsere Softwarequalität und Kundenzufriedenheit erheblich verbessern können. Dank Coverity haben wir die Einhaltung der in den OWASP Top 10 aufgeführten Sicherheitsprobleme erreicht und damit unsere Fähigkeit unter Beweis gestellt, die kritischsten Sicherheitsrisiken für Webanwendungen anzugehen. “

Die Ergebnisse: Entwicklern helfen, produktiver zu werden

Synopsys Coverity und Black Duck werden von FPT verwendet, um durchschnittlich 200 Projekte pro Jahr zu verwalten und beide AST-Tools in ihre Jenkins-Builds zu integrieren.

"Synopsys hat eine Reihe von Problemen für uns gelöst", sagt Do Van Khac. „Nach der Einführung von Coverity im Jahr 2015 und Black Duck im Jahr 2019 sind wir mit den Sicherheitstests für Synopsys-Anwendungen sehr zufrieden. Unsere Bewertungen zeigen, dass Synopsys unseren Entwicklern hilft, produktiver zu sein, indem relevante Probleme mit weniger als 10% falsch positiven oder negativen Ergebnissen identifiziert werden. Die umfangreichen Berichtsfunktionen der Tools bieten uns Echtzeit-Einblicke in aufkommende Trends, damit wir Probleme schneller angehen und Risiken minimieren können. Wir empfehlen die Synopsys AST-Tools allen Unternehmen, insbesondere solchen, die auf eingebettete Systeme spezialisiert sind, bei denen die Codequalität von größter Bedeutung ist. “

Informationen zur Synopsys Software Integrity Group

Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter www.synopsys.com/software.

###