Publié le

Note de l'éditeur : FPT Software, le leader vietnamien des technologies et des logiciels, dont le siège est à Hanoï, a choisi le leader de la sécurité des applications Synopsys’ Application Security Testing tools to improve its code quality and security. The vendor’s news release is below.

FPT Software Enhances Code Quality and Security with Synopsys Application Security Testing Solutions

Singapour, @mcgallen #microwireinfo, 14 octobre 2020 - Synopsys, Inc., a recognised leader in application security, recently expanded security testing support for FPT Software, guiding them in identifying and fixing software problems early in the software development process.

FPT Software offre des services complets de cycle de vie à ses clients, y compris la conception, le développement, la migration et la modernisation de logiciels. Fournir des composants logiciels pour les systèmes des clients signifie souvent travailler avec du code hérité et des architectures non conçues à l'origine pour les environnements interconnectés modernes. Ceux-ci doivent être rigoureusement testés pour la qualité et la sécurité requises par les applications modernes d'aujourd'hui.

«Gagner la confiance de nos clients est notre priorité absolue, et nous nous concentrons constamment sur l'amélioration de la sécurité du code», déclare Do Van Khac, directeur de la livraison et vice-président exécutif de FPT Software. «Nous sommes souvent confrontés à des risques découlant de codes et d'architectures hérités incompatibles, ce qui a entraîné une augmentation des coûts de correction. Nous avons entrepris de rechercher des outils pour améliorer la qualité et la sécurité du code le plus tôt possible dans le cycle de vie du développement. »

En aidant à identifier et à résoudre les problèmes logiciels au début du processus de développement, Analyse statique de couverture non seulement accélère les révisions du code FPT pour améliorer la qualité et la sécurité du code, mais aide également FPT à réduire la nécessité et le coût de résoudre ces problèmes plus tard.

Avec l'utilisation croissante de composants et de bibliothèques open source dans le développement de logiciels, les clients FPT ont demandé à l'entreprise d'étendre leurs tests logiciels pour inclure analyse de composition logicielle (SCA). FPT implemented Synopsys’ Black Duck SCA in 2019, and today FPT uses Coverity and Black Duck for virtually all their software project testing.

La décision de mettre en œuvre une solution SCA est également étayée par les conclusions du Rapport d'analyse des risques et de la sécurité Open Source 2020 (OSSRA) où 99% des bases de code auditées par l'équipe d'audit de Black Duck en 2019 contenaient de l'open source. De plus, 100% des bases de code de neuf des 17 industries couvertes par la recherche contenaient au moins un composant open source.

Alors que la communauté open source publie des mises à jour et des correctifs de sécurité, les organisations doivent disposer d'un moyen d'identifier, de suivre et de gérer de manière responsable l'utilisation de l'open source légale avec sa présence croissante dans les logiciels commerciaux. Celles-ci peuvent inclure l'identification des licences, un processus pour corriger les vulnérabilités connues et des politiques pour traiter les packages open source obsolètes et non pris en charge.

Un nombre alarmant d'entreprises consommant des composants open source n'appliquent pas de correctifs de sécurité, ouvrant leurs activités à d'éventuelles incursions et exploits de cybersécurité.

“With the acceleration of technology adoption and online solutions during the pandemic, businesses will seek efficiencies in application development by leveraging increased use of open source technologies. Security, updates, patches and licensing obligations could introduce unexpected risks, which is why open source usage needs to be managed differently than that of commercial software,” said Tan Geok-Cheng, managing director, Synopsys Groupe d'intégrité du logiciel.

Parmi les bases de code auditées pour le rapport OSSRA 2020, 75% contenaient au moins une vulnérabilité publique, une augmentation par rapport aux 60% de 2018, et une moyenne de 82 vulnérabilités a été identifiée par base de code. De même, le pourcentage de vulnérabilités à haut risque est passé à 49% en 2019, contre 40% en 2018.

La solution pour les logiciels FPT: Coverity SAST et Black Duck SCA

Les tests de sécurité d'application statique (SAST) de Coverity identifient les défauts de qualité logicielle critiques et les vulnérabilités de sécurité pour garantir un code sécurisé, de meilleure qualité et conforme aux normes telles que ISO-9001 et SEI CMMI niveau 5.

Black Duck SCA fournit à FPT une solution complète de gestion des risques de sécurité, de qualité et de conformité des licences découlant de l'utilisation de code open source et tiers dans les applications et les conteneurs.

"Synopsys has surpassed our expectations in code scanning and security checking enhancement.” says Do Van Khac. “Coverity and Black Duck provide us with tools to significantly improve our software quality and customer satisfaction as well. Thanks to Coverity, we have achieved compliance with the security issues listed in the OWASP Top 10, demonstrating our capability to address the most critical security risks to web applications.”

Les résultats: aider les développeurs à être plus productifs

Synopsys Coverity and Black Duck are being used by FPT to manage an average 200 projects per year, integrating both AST tools into their Jenkins builds.

"Synopsys has solved a number of problems for us,” says Do Van Khac. “After adopting Coverity in 2015 and Black Duck in 2019 we are quite satisfied with Synopsys application security testing. Our evaluations indicate that Synopsys helps our developers be more productive by identifying relevant problems with fewer than 10% false positives or negatives. The tools’ rich reporting capabilities provide us with real-time insight into emerging trends so we can address problems sooner and minimise risk. We would strongly recommend the Synopsys AST tools to all enterprises, especially those specialising in Embedded Systems where code quality is of paramount importance.”

À propos du Synopsys Groupe d'intégrité logicielle

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, en minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, un leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de la composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Grâce à une combinaison d'outils, de services et d'expertise de pointe, seuls Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/logiciel.

###