kode di layar

Grup teknologi terkemuka Viet FPT Software meningkatkan kualitas dan keamanan kode dengan Synopsys' solusi

Ringkasan editor: Grup perangkat lunak dan teknologi terkemuka Vietnam, FPT Software, yang berkantor pusat di Hanoi, telah memilih pemimpin keamanan aplikasi Synopsys' Alat Pengujian Keamanan Aplikasi untuk meningkatkan kualitas dan keamanan kodenya. Baca lebih lanjut di bawah ini.

SINGAPURA - Synopsys, Inc., pemimpin yang diakui dalam keamanan aplikasi, baru-baru ini memperluas dukungan pengujian keamanan untuk Perangkat Lunak FPT, membimbing mereka dalam mengidentifikasi dan memperbaiki masalah perangkat lunak di awal proses pengembangan perangkat lunak.

Perangkat Lunak FPT menawarkan layanan siklus hidup penuh untuk pelanggannya, termasuk desain perangkat lunak, pengembangan, migrasi, dan modernisasi. Menyediakan komponen perangkat lunak untuk sistem klien sering kali berarti bekerja dengan kode dan arsitektur lama yang awalnya tidak dirancang untuk lingkungan modern yang saling berhubungan. Ini harus diuji secara ketat untuk kualitas dan keamanan yang dibutuhkan oleh aplikasi modern saat ini.

“Memenangkan kepercayaan klien adalah prioritas utama kami, dan kami terus-menerus fokus pada peningkatan keamanan kode,” kata Do Van Khac, Chief Delivery Officer dan Executive Vice President di FPT Software. “Kami sering menghadapi risiko yang berasal dari kode dan arsitektur warisan yang tidak kompatibel, yang menyebabkan peningkatan biaya dalam perbaikan. Kami mengambil jalur untuk mencari alat untuk meningkatkan kualitas dan keamanan kode sedini mungkin dalam siklus hidup pengembangan. ”

Dengan membantu mengidentifikasi dan memperbaiki masalah perangkat lunak di awal proses pengembangan, Analisis Statis Coverity tidak hanya mempercepat tinjauan kode FPT untuk meningkatkan kualitas dan keamanan kode, tetapi juga membantu FPT mengurangi kebutuhan dan biaya untuk menangani masalah tersebut nanti.

Dengan meningkatnya penggunaan komponen dan pustaka sumber terbuka dalam pengembangan perangkat lunak, pelanggan FPT meminta agar perusahaan memperluas pengujian perangkat lunak mereka untuk menyertakan analisis komposisi perangkat lunak (SCA). FPT dilaksanakan Synopsys' Black Duck SCA pada tahun 2019, dan hari ini FPT menggunakan Coverity dan Black Duck untuk hampir semua pengujian proyek perangkat lunak mereka.

Keputusan untuk menerapkan solusi SCA selanjutnya didukung oleh temuan dari Laporan Analisis Keamanan dan Risiko Open Source (OSSRA) 2020 di mana 99% basis kode yang diaudit oleh tim Audit Bebek Hitam pada tahun 2019 berisi sumber terbuka. Selain itu, 100% basis kode dari sembilan dari 17 industri yang tercakup dalam penelitian mengandung setidaknya satu komponen sumber terbuka.

Karena komunitas sumber terbuka mengeluarkan pembaruan fitur dan tambalan keamanan, organisasi perlu memiliki cara untuk mengidentifikasi, melacak, dan secara bertanggung jawab mengelola penggunaan sumber terbuka legal dengan kehadirannya yang semakin meningkat dalam perangkat lunak komersial. Ini mungkin termasuk identifikasi lisensi, proses untuk menambal kerentanan yang diketahui, dan kebijakan untuk mengatasi paket open source yang kedaluwarsa dan tidak didukung.

Sejumlah perusahaan yang mengkonsumsi komponen open source tidak menerapkan patch keamanan, sehingga membuka bisnis mereka dari potensi serangan dan eksploitasi keamanan siber.

“Dengan percepatan adopsi teknologi dan solusi online selama pandemi, bisnis akan mencari efisiensi dalam pengembangan aplikasi dengan memanfaatkan peningkatan penggunaan teknologi open source. Keamanan, pembaruan, patch, dan kewajiban lisensi dapat menimbulkan risiko yang tidak terduga, itulah sebabnya penggunaan sumber terbuka perlu dikelola secara berbeda dari perangkat lunak komersial,” kata Tan Geok-Cheng, direktur pelaksana, Synopsys Grup Integritas Perangkat Lunak.

Di antara basis kode yang diaudit untuk laporan OSSRA 2020, 75% mengandung setidaknya satu kerentanan publik, meningkat dari 60% pada 2018, dan rata-rata 82 kerentanan teridentifikasi per basis kode. Demikian pula, persentase kerentanan berisiko tinggi meningkat menjadi 49% pada 2019, dibandingkan dengan 40% pada 2018.

Solusi untuk Software FPT: Coverity SAST dan Black Duck SCA

Pengujian keamanan aplikasi statis coverity (SAST), mengidentifikasi cacat kualitas perangkat lunak kritis dan kerentanan keamanan untuk memastikan kode yang aman, berkualitas lebih tinggi, dan sesuai dengan standar seperti ISO-9001 dan SEI CMMI Level 5.

Black Duck SCA memberikan FPT solusi komprehensif untuk mengelola keamanan, kualitas, dan risiko kepatuhan lisensi yang berasal dari penggunaan kode sumber terbuka dan pihak ketiga dalam aplikasi dan wadah.

"Synopsys telah melampaui harapan kami dalam pemindaian kode dan peningkatan pemeriksaan keamanan.” kata Do Van Khac. “Coverity dan Black Duck memberi kami alat untuk meningkatkan kualitas perangkat lunak dan kepuasan pelanggan kami secara signifikan. Berkat Coverity, kami telah mencapai kepatuhan terhadap masalah keamanan yang tercantum dalam 10 Teratas OWASP, menunjukkan kemampuan kami untuk mengatasi risiko keamanan paling kritis pada aplikasi web.”

Hasilnya: Membantu Pengembang Menjadi Lebih Produktif

Synopsys Coverity dan Black Duck digunakan oleh FPT untuk mengelola rata-rata 200 proyek per tahun, mengintegrasikan kedua alat AST ke dalam build Jenkins mereka.

"Synopsys telah memecahkan sejumlah masalah bagi kami,” kata Do Van Khac. “Setelah mengadopsi Coverity pada tahun 2015 dan Black Duck pada tahun 2019, kami cukup puas dengan Synopsys pengujian keamanan aplikasi. Evaluasi kami menunjukkan bahwa Synopsys membantu pengembang kami menjadi lebih produktif dengan mengidentifikasi masalah yang relevan dengan kurang dari 10% positif palsu atau negatif. Kemampuan pelaporan alat yang kaya memberi kami wawasan waktu nyata tentang tren yang muncul sehingga kami dapat mengatasi masalah lebih cepat dan meminimalkan risiko. Kami sangat merekomendasikan Synopsys Alat AST untuk semua perusahaan, terutama yang berspesialisasi dalam Sistem Tertanam di mana kualitas kode sangat penting.”

# # #