Le leader de Viet Tech Group FPT Software améliore la qualité et la sécurité du code avec les solutions de Synopsys

markus-spiske-hvSr_CVecVI-unsplash

Note de l'éditeur: Le groupe technologique et logiciel de premier plan vietnamien FPT Software, dont le siège est à Hanoi, a choisi les outils de test de sécurité des applications de Synopsys, leader de la sécurité des applications, pour améliorer la qualité et la sécurité de son code. Le communiqué de presse du fournisseur est ci-dessous.

Le logiciel FPT améliore la qualité et la sécurité du code avec les solutions de test de sécurité des applications Synopsys

Singapour, @mcgallen #microwireinfo, 14 octobre 2020 - Synopsys, Inc., un leader reconnu de la sécurité des applications, a récemment étendu la prise en charge des tests de sécurité pour FPT Software, en les guidant dans l'identification et la résolution des problèmes logiciels au début du processus de développement logiciel.

FPT Software offre des services complets de cycle de vie à ses clients, y compris la conception, le développement, la migration et la modernisation de logiciels. Fournir des composants logiciels pour les systèmes des clients signifie souvent travailler avec du code hérité et des architectures non conçues à l'origine pour les environnements interconnectés modernes. Ceux-ci doivent être rigoureusement testés pour la qualité et la sécurité requises par les applications modernes d'aujourd'hui.

«Gagner la confiance de nos clients est notre priorité absolue, et nous nous concentrons constamment sur l'amélioration de la sécurité du code», déclare Do Van Khac, directeur de la livraison et vice-président exécutif de FPT Software. «Nous sommes souvent confrontés à des risques découlant de codes et d'architectures hérités incompatibles, ce qui a entraîné une augmentation des coûts de correction. Nous avons entrepris de rechercher des outils pour améliorer la qualité et la sécurité du code le plus tôt possible dans le cycle de vie du développement. »

En aidant à identifier et à résoudre les problèmes logiciels au début du processus de développement, Analyse statique de couverture non seulement accélère les révisions du code FPT pour améliorer la qualité et la sécurité du code, mais aide également FPT à réduire la nécessité et le coût de résoudre ces problèmes plus tard.

Avec l'utilisation croissante de composants et de bibliothèques open source dans le développement de logiciels, les clients FPT ont demandé à l'entreprise d'étendre leurs tests logiciels pour inclure analyse de composition logicielle (SCA). FPT a implémenté Black Duck SCA de Synopsys en 2019, et aujourd'hui FPT utilise Coverity et Black Duck pour pratiquement tous ses tests de projets logiciels.

La décision de mettre en œuvre une solution SCA est également étayée par les conclusions du Rapport d'analyse des risques et de la sécurité Open Source 2020 (OSSRA) où 99% des bases de code auditées par l'équipe d'audit de Black Duck en 2019 contenaient de l'open source. De plus, 100% des bases de code de neuf des 17 industries couvertes par la recherche contenaient au moins un composant open source.

Alors que la communauté open source publie des mises à jour et des correctifs de sécurité, les organisations doivent disposer d'un moyen d'identifier, de suivre et de gérer de manière responsable l'utilisation de l'open source légale avec sa présence croissante dans les logiciels commerciaux. Celles-ci peuvent inclure l'identification des licences, un processus pour corriger les vulnérabilités connues et des politiques pour traiter les packages open source obsolètes et non pris en charge.

Un nombre alarmant d'entreprises consommant des composants open source n'appliquent pas de correctifs de sécurité, ouvrant leurs activités à d'éventuelles incursions et exploits de cybersécurité.

«Avec l'accélération de l'adoption de la technologie et des solutions en ligne pendant la pandémie, les entreprises rechercheront des gains d'efficacité dans le développement d'applications en tirant parti d'une utilisation accrue des technologies open source. La sécurité, les mises à jour, les correctifs et les obligations de licence pourraient présenter des risques inattendus, c'est pourquoi l'utilisation de l'open source doit être gérée différemment de celle des logiciels commerciaux », a déclaré Tan Geok-Cheng, directeur général de Synopsys Software Integrity Group.

Parmi les bases de code auditées pour le rapport OSSRA 2020, 75% contenaient au moins une vulnérabilité publique, une augmentation par rapport aux 60% de 2018, et une moyenne de 82 vulnérabilités a été identifiée par base de code. De même, le pourcentage de vulnérabilités à haut risque est passé à 49% en 2019, contre 40% en 2018.

La solution pour les logiciels FPT: Coverity SAST et Black Duck SCA

Les tests de sécurité d'application statique (SAST) de Coverity identifient les défauts de qualité logicielle critiques et les vulnérabilités de sécurité pour garantir un code sécurisé, de meilleure qualité et conforme aux normes telles que ISO-9001 et SEI CMMI niveau 5.

Black Duck SCA fournit à FPT une solution complète de gestion des risques de sécurité, de qualité et de conformité des licences découlant de l'utilisation de code open source et tiers dans les applications et les conteneurs.

«Synopsys a dépassé nos attentes en matière d'analyse de code et d'amélioration de la vérification de la sécurité.» dit Do Van Khac. «Coverity et Black Duck nous fournissent des outils pour améliorer considérablement la qualité de nos logiciels et la satisfaction de nos clients. Grâce à Coverity, nous avons atteint la conformité avec les problèmes de sécurité répertoriés dans le Top 10 de l'OWASP, ce qui démontre notre capacité à faire face aux risques de sécurité les plus critiques pour les applications Web. »

Les résultats: aider les développeurs à être plus productifs

Synopsys Coverity et Black Duck sont utilisés par FPT pour gérer en moyenne 200 projets par an, intégrant les deux outils AST dans leurs versions Jenkins.

«Synopsys a résolu un certain nombre de problèmes pour nous», déclare Do Van Khac. «Après avoir adopté Coverity en 2015 et Black Duck en 2019, nous sommes très satisfaits des tests de sécurité des applications de Synopsys. Nos évaluations indiquent que Synopsys aide nos développeurs à être plus productifs en identifiant les problèmes pertinents avec moins de 10% de faux positifs ou négatifs. Les riches capacités de reporting des outils nous fournissent un aperçu en temps réel des tendances émergentes afin que nous puissions résoudre les problèmes plus rapidement et minimiser les risques. Nous recommandons vivement les outils Synopsys AST à toutes les entreprises, en particulier à celles qui se spécialisent dans les systèmes embarqués où la qualité du code est d'une importance primordiale. »

À propos du groupe d'intégrité logicielle de Synopsys

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

###