Veröffentlicht am

Kurzfassung des Herausgebers: Der führende vietnamesische Technologie- und Softwarekonzern FPT Software mit Hauptsitz in Hanoi hat sich zum Marktführer für Anwendungssicherheit ernannt Synopsys' Tools zum Testen der Anwendungssicherheit zur Verbesserung der Codequalität und -sicherheit. Die Pressemitteilung des Anbieters finden Sie unten.

FPT-Software verbessert die Codequalität und -sicherheit mit Synopsys Lösungen zum Testen der Anwendungssicherheit

Singapur, @mcgallen #microwireinfo, 14. Oktober 2020 - Synopsys, Inc., ein anerkannter Marktführer im Bereich Anwendungssicherheit, hat kürzlich die Unterstützung für Sicherheitstests für FPT Software erweitert und hilft ihnen dabei, Softwareprobleme frühzeitig im Softwareentwicklungsprozess zu erkennen und zu beheben.

FPT Software bietet seinen Kunden umfassende Lifecycle-Services, einschließlich Softwaredesign, -entwicklung, -migration und -modernisierung. Das Bereitstellen von Softwarekomponenten für Client-Systeme bedeutet häufig das Arbeiten mit Legacy-Code und Architekturen, die ursprünglich nicht für moderne miteinander verbundene Umgebungen entwickelt wurden. Diese müssen streng auf die Qualität und Sicherheit geprüft werden, die moderne Anwendungen von heute benötigen.

„Das Vertrauen unserer Kunden zu gewinnen, hat für uns höchste Priorität und wir konzentrieren uns ständig auf die Verbesserung der Codesicherheit“, sagt Do Van Khac, Chief Delivery Officer und Executive Vice President bei FPT Software. „Wir sind häufig Risiken ausgesetzt, die sich aus inkompatiblem Legacy-Code und inkompatiblen Architekturen ergeben, was zu erhöhten Kosten bei der Korrektur führte. Wir haben nach Tools gesucht, um die Codequalität und -sicherheit so früh wie möglich im Entwicklungslebenszyklus zu verbessern. “

Indem Sie helfen, Softwareprobleme frühzeitig im Entwicklungsprozess zu erkennen und zu beheben, Statische Analyse der Deckung Dies beschleunigt nicht nur die Überprüfung von FPT-Code, um die Codequalität und -sicherheit zu verbessern, sondern hilft FPT auch dabei, die Notwendigkeit und die Kosten für eine spätere Behebung dieser Probleme zu senken.

Angesichts der zunehmenden Verwendung von Open Source-Komponenten und -Bibliotheken in der Softwareentwicklung forderten FPT-Kunden das Unternehmen auf, ihre Softwaretests um diese zu erweitern Software Composition Analysis (SCA). FPT implementiert Synopsys' Black Duck SCA im Jahr 2019, und heute verwendet FPT Coverity und Black Duck für praktisch alle Tests ihrer Softwareprojekte.

Die Entscheidung zur Implementierung einer SCA-Lösung wird durch die Ergebnisse der Bericht zur Open Source-Sicherheits- und Risikoanalyse (OSSRA) für 2020 99% der Codebasen, die 2019 vom Black Duck Audit-Team geprüft wurden, enthielten Open Source. Darüber hinaus enthielten 100% der Codebasen aus neun der 17 untersuchten Branchen mindestens eine Open-Source-Komponente.

Da die Open Source-Community Updates und Sicherheitspatches enthält, müssen Unternehmen über eine Möglichkeit verfügen, die legale Open Source-Nutzung zu identifizieren, zu verfolgen und verantwortungsbewusst zu verwalten, da sie zunehmend in kommerzieller Software präsent ist. Dies kann die Lizenzidentifizierung, einen Prozess zum Patchen bekannter Schwachstellen und Richtlinien zur Behebung veralteter und nicht unterstützter Open Source-Pakete umfassen.

Eine alarmierende Anzahl von Unternehmen, die Open-Source-Komponenten verwenden, wenden keine Sicherheitspatches an und öffnen ihr Geschäft für potenzielle Eingriffe und Exploits in die Cybersicherheit.

„Mit der Beschleunigung der Einführung von Technologie und Online-Lösungen während der Pandemie werden Unternehmen nach Effizienzsteigerungen in der Anwendungsentwicklung suchen, indem sie den verstärkten Einsatz von Open-Source-Technologien nutzen. Sicherheit, Updates, Patches und Lizenzierungsverpflichtungen könnten unerwartete Risiken mit sich bringen, weshalb die Nutzung von Open Source anders gehandhabt werden muss als die von kommerzieller Software“, sagte Tan Geok-Cheng, Managing Director, Synopsys Softwareintegritätsgruppe.

Von den für den OSSRA-Bericht 2020 geprüften Codebasen enthielten 75% mindestens eine öffentliche Sicherheitsanfälligkeit, ein Anstieg gegenüber 60% von 2018, und es wurden durchschnittlich 82 Sicherheitsanfälligkeiten pro Codebasis identifiziert. In ähnlicher Weise stieg der Prozentsatz der gefährdeten Schwachstellen im Jahr 49 auf 2019% gegenüber 40% im Jahr 2018.

Die Lösung für FPT-Software: Coverity SAST und Black Duck SCA

Coverity Statical Application Security Testing (SAST) identifiziert kritische Softwarequalitätsmängel und Sicherheitslücken, um sicherzustellen, dass der Code sicher und von höherer Qualität ist und Standards wie ISO-9001 und SEI CMMI Level 5 entspricht.

Black Duck SCA bietet FPT eine umfassende Lösung für das Management von Sicherheits-, Qualitäts- und Lizenzkonformitätsrisiken, die sich aus der Verwendung von Open Source-Code und Code von Drittanbietern in Anwendungen und Containern ergeben.

"Synopsys hat unsere Erwartungen beim Codescannen und der Verbesserung der Sicherheitsüberprüfung übertroffen.“ sagt Do Van Khac. „Coverity und Black Duck geben uns Tools an die Hand, mit denen wir unsere Softwarequalität und Kundenzufriedenheit deutlich verbessern können. Dank Coverity haben wir die Einhaltung der in den OWASP Top 10 aufgeführten Sicherheitsprobleme erreicht, was unsere Fähigkeit unter Beweis stellt, die kritischsten Sicherheitsrisiken für Webanwendungen anzugehen.“

Die Ergebnisse: Entwicklern helfen, produktiver zu werden

Synopsys Coverity und Black Duck werden von FPT verwendet, um durchschnittlich 200 Projekte pro Jahr zu verwalten, wobei beide AST-Tools in ihre Jenkins-Builds integriert werden.

"Synopsys hat eine Reihe von Problemen für uns gelöst“, sagt Do Van Khac. „Nach der Einführung von Coverity im Jahr 2015 und Black Duck im Jahr 2019 sind wir sehr zufrieden damit Synopsys Anwendungssicherheitstests. Das zeigen unsere Auswertungen Synopsys hilft unseren Entwicklern, produktiver zu sein, indem relevante Probleme mit weniger als 10 % falsch positiven oder negativen Ergebnissen identifiziert werden. Die umfassenden Berichtsfunktionen der Tools bieten uns Echtzeit-Einblicke in aufkommende Trends, sodass wir Probleme früher angehen und Risiken minimieren können. Wir würden die wärmstens empfehlen Synopsys AST-Tools für alle Unternehmen, insbesondere solche, die sich auf eingebettete Systeme spezialisiert haben, bei denen die Codequalität von größter Bedeutung ist.“

Über die Synopsys Softwareintegritätsgruppe

Synopsys Die Software Integrity Group hilft Entwicklungsteams, sichere, qualitativ hochwertige Software zu entwickeln, Risiken zu minimieren und gleichzeitig Geschwindigkeit und Produktivität zu maximieren. Synopsys, ein anerkannter Marktführer im Bereich Anwendungssicherheit, bietet Lösungen für statische Analysen, Softwarezusammensetzungen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open-Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Nur mit einer Kombination aus branchenführenden Tools, Services und Fachwissen Synopsys unterstützt Unternehmen bei der Optimierung von Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung. Erfahren Sie mehr unter www.synopsys.com/Software.

###