El grupo tecnológico líder en Vietnam, FPT Software, mejora la calidad y seguridad del código con las soluciones de Synopsys

markus-spiske-hvSr_CVecVI-unsplash

Resumen del editor: El grupo líder de software y tecnología vietnamita FPT Software, con sede en Hanoi, ha elegido las herramientas de prueba de seguridad de aplicaciones Synopsys, líder en seguridad de aplicaciones, para mejorar la calidad y seguridad de su código. El comunicado de prensa del proveedor se encuentra a continuación.

El software FPT mejora la calidad y la seguridad del código con las soluciones de prueba de seguridad de aplicaciones Synopsys

Singapur, @mcgallen #microwireinfo, 14 de octubre de 2020 - Synopsys, Inc., líder reconocido en seguridad de aplicaciones, recientemente amplió el soporte de pruebas de seguridad para FPT Software, guiándolos en la identificación y solución de problemas de software en las primeras etapas del proceso de desarrollo de software.

FPT Software ofrece servicios de ciclo de vida completo para sus clientes, incluido el diseño, desarrollo, migración y modernización de software. Proporcionar componentes de software para los sistemas de los clientes a menudo significa trabajar con código heredado y arquitecturas que no se diseñaron originalmente para entornos interconectados modernos. Estos deben ser probados rigurosamente para la calidad y seguridad que necesitan las aplicaciones modernas de hoy.

“Ganarnos la confianza de los clientes es nuestra máxima prioridad, y nos enfocamos constantemente en mejorar la seguridad del código”, dice Do Van Khac, Director de Entrega y Vicepresidente Ejecutivo de FPT Software. “A menudo nos encontramos con riesgos derivados de arquitecturas y códigos heredados incompatibles, lo que provocó un aumento de los costes de reparación. Tomamos el camino de buscar herramientas para mejorar la calidad y la seguridad del código lo antes posible en el ciclo de vida del desarrollo ".

Al ayudar a identificar y solucionar problemas de software al principio del proceso de desarrollo, Análisis estático de Coverity no solo acelera las revisiones del código FPT para mejorar la calidad y la seguridad del código, sino que también ayuda a FPT a reducir la necesidad y el costo de abordar esos problemas más adelante.

Con el creciente uso de bibliotecas y componentes de código abierto en el desarrollo de software, los clientes de FPT solicitaron que la empresa ampliara sus pruebas de software para incluir análisis de composición de software (SCA). FPT implementó Black Duck SCA de Synopsys en 2019, y hoy FPT usa Coverity y Black Duck para prácticamente todas sus pruebas de proyectos de software.

La decisión de implementar una solución SCA está respaldada además por los hallazgos del Informe de análisis de riesgos y seguridad de código abierto (OSSRA) de 2020 donde el 99% de las bases de código auditadas por el equipo de Black Duck Audit en 2019 contenían código abierto. Además, el 100% de las bases de código de nueve de las 17 industrias cubiertas en la investigación contenían al menos un componente de código abierto.

A medida que los problemas de la comunidad de código abierto presentan actualizaciones y parches de seguridad, las organizaciones deben tener una forma de identificar, rastrear y administrar responsablemente el uso legal del código abierto con su creciente presencia en software comercial. Estos pueden incluir identificación de licencia, un proceso para parchear vulnerabilidades conocidas y políticas para abordar paquetes de código abierto desactualizados y no compatibles.

Un número alarmante de empresas que consumen componentes de código abierto no aplican parches de seguridad, lo que abre sus negocios a posibles incursiones y exploits de ciberseguridad.

“Con la aceleración de la adopción de tecnología y soluciones en línea durante la pandemia, las empresas buscarán eficiencias en el desarrollo de aplicaciones aprovechando un mayor uso de tecnologías de código abierto. La seguridad, las actualizaciones, los parches y las obligaciones de licencia podrían presentar riesgos inesperados, por lo que el uso de código abierto debe administrarse de manera diferente al software comercial ”, dijo Tan Geok-Cheng, director gerente de Synopsys Software Integrity Group.

Entre las bases de código auditadas para el informe OSSRA de 2020, el 75% contenía al menos una vulnerabilidad pública, un aumento del 60% de 2018 y se identificaron un promedio de 82 vulnerabilidades por base de código. De manera similar, el porcentaje de vulnerabilidades de alto riesgo aumentó al 49% en 2019, en comparación con el 40% en 2018.

La solución para el software FPT: Coverity SAST y Black Duck SCA

Las pruebas de seguridad de aplicaciones estáticas (SAST) de Coverity identifican defectos críticos de calidad del software y vulnerabilidades de seguridad para garantizar que el código sea seguro, de mayor calidad y que cumpla con estándares como ISO-9001 y SEI CMMI Nivel 5.

Black Duck SCA proporciona a FPT una solución integral para administrar la seguridad, la calidad y el riesgo de cumplimiento de licencias que proviene del uso de código abierto y de terceros en aplicaciones y contenedores.

"Synopsys ha superado nuestras expectativas en el escaneo de código y la mejora de la verificación de seguridad". dice Do Van Khac. “Coverity y Black Duck nos brindan herramientas para mejorar significativamente la calidad de nuestro software y también la satisfacción del cliente. Gracias a Coverity, hemos logrado el cumplimiento de los problemas de seguridad enumerados en el Top 10 de OWASP, lo que demuestra nuestra capacidad para abordar los riesgos de seguridad más críticos para las aplicaciones web ”.

Los resultados: ayudar a los desarrolladores a ser más productivos

FPT está utilizando Synopsys Coverity y Black Duck para gestionar un promedio de 200 proyectos por año, integrando ambas herramientas AST en sus compilaciones Jenkins.

“Synopsys nos ha resuelto una serie de problemas”, dice Do Van Khac. “Después de adoptar Coverity en 2015 y Black Duck en 2019, estamos bastante satisfechos con las pruebas de seguridad de la aplicación Synopsys. Nuestras evaluaciones indican que Synopsys ayuda a nuestros desarrolladores a ser más productivos al identificar problemas relevantes con menos del 10% de falsos positivos o negativos. Las completas capacidades de generación de informes de las herramientas nos brindan información en tiempo real sobre las tendencias emergentes para que podamos abordar los problemas antes y minimizar el riesgo. Recomendamos encarecidamente las herramientas Synopsys AST a todas las empresas, especialmente a las que se especializan en sistemas integrados, donde la calidad del código es de suma importancia ".

Acerca del grupo de integridad del software Synopsys

Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

###