Grup teknologi terkemuka Viet, FPT Software, meningkatkan kualitas dan keamanan kode dengan solusi Synopsys

markus-spiske-hvSr_CVecVI-unsplash

Ringkasan editor: Grup perangkat lunak dan teknologi Vietnam terkemuka, FPT Software, yang berkantor pusat di Hanoi, telah memilih alat Pengujian Keamanan Aplikasi milik Synopsys untuk meningkatkan kualitas kode dan keamanannya. Rilis berita vendor ada di bawah.

Perangkat Lunak FPT Meningkatkan Kualitas dan Keamanan Kode dengan Solusi Pengujian Keamanan Aplikasi Synopsys

Singapura, @mcgallen #microwireinfo, 14 Oktober 2020 - Synopsys, Inc., pemimpin yang diakui dalam keamanan aplikasi, baru-baru ini memperluas dukungan pengujian keamanan untuk Perangkat Lunak FPT, membimbing mereka dalam mengidentifikasi dan memperbaiki masalah perangkat lunak di awal proses pengembangan perangkat lunak.

Perangkat Lunak FPT menawarkan layanan siklus hidup penuh untuk pelanggannya, termasuk desain perangkat lunak, pengembangan, migrasi, dan modernisasi. Menyediakan komponen perangkat lunak untuk sistem klien sering kali berarti bekerja dengan kode dan arsitektur lama yang awalnya tidak dirancang untuk lingkungan modern yang saling berhubungan. Ini harus diuji secara ketat untuk kualitas dan keamanan yang dibutuhkan oleh aplikasi modern saat ini.

“Memenangkan kepercayaan klien adalah prioritas utama kami, dan kami terus-menerus fokus pada peningkatan keamanan kode,” kata Do Van Khac, Chief Delivery Officer dan Executive Vice President di FPT Software. “Kami sering menghadapi risiko yang berasal dari kode dan arsitektur warisan yang tidak kompatibel, yang menyebabkan peningkatan biaya dalam perbaikan. Kami mengambil jalur untuk mencari alat untuk meningkatkan kualitas dan keamanan kode sedini mungkin dalam siklus hidup pengembangan. ”

Dengan membantu mengidentifikasi dan memperbaiki masalah perangkat lunak di awal proses pengembangan, Analisis Statis Coverity tidak hanya mempercepat tinjauan kode FPT untuk meningkatkan kualitas dan keamanan kode, tetapi juga membantu FPT mengurangi kebutuhan dan biaya untuk menangani masalah tersebut nanti.

Dengan meningkatnya penggunaan komponen dan pustaka sumber terbuka dalam pengembangan perangkat lunak, pelanggan FPT meminta agar perusahaan memperluas pengujian perangkat lunak mereka untuk menyertakan analisis komposisi perangkat lunak (SCA). FPT menerapkan Synopsys 'Black Duck SCA pada tahun 2019, dan hari ini FPT menggunakan Coverity dan Black Duck untuk hampir semua pengujian proyek perangkat lunak mereka.

Keputusan untuk menerapkan solusi SCA selanjutnya didukung oleh temuan dari Laporan Analisis Keamanan dan Risiko Open Source (OSSRA) 2020 di mana 99% basis kode yang diaudit oleh tim Audit Bebek Hitam pada tahun 2019 berisi sumber terbuka. Selain itu, 100% basis kode dari sembilan dari 17 industri yang tercakup dalam penelitian mengandung setidaknya satu komponen sumber terbuka.

Karena komunitas sumber terbuka mengeluarkan pembaruan fitur dan tambalan keamanan, organisasi perlu memiliki cara untuk mengidentifikasi, melacak, dan secara bertanggung jawab mengelola penggunaan sumber terbuka legal dengan kehadirannya yang semakin meningkat dalam perangkat lunak komersial. Ini mungkin termasuk identifikasi lisensi, proses untuk menambal kerentanan yang diketahui, dan kebijakan untuk mengatasi paket open source yang kedaluwarsa dan tidak didukung.

Sejumlah perusahaan yang mengkonsumsi komponen open source tidak menerapkan patch keamanan, sehingga membuka bisnis mereka dari potensi serangan dan eksploitasi keamanan siber.

“Dengan percepatan adopsi teknologi dan solusi online selama pandemi, bisnis akan mencari efisiensi dalam pengembangan aplikasi dengan memanfaatkan peningkatan penggunaan teknologi open source. Keamanan, pembaruan, tambalan, dan kewajiban lisensi dapat menimbulkan risiko yang tidak terduga, itulah sebabnya penggunaan sumber terbuka perlu dikelola secara berbeda dari perangkat lunak komersial, ”kata Tan Geok-Cheng, direktur pelaksana, Synopsys Software Integrity Group.

Di antara basis kode yang diaudit untuk laporan OSSRA 2020, 75% mengandung setidaknya satu kerentanan publik, meningkat dari 60% pada 2018, dan rata-rata 82 kerentanan teridentifikasi per basis kode. Demikian pula, persentase kerentanan berisiko tinggi meningkat menjadi 49% pada 2019, dibandingkan dengan 40% pada 2018.

Solusi untuk Software FPT: Coverity SAST dan Black Duck SCA

Pengujian keamanan aplikasi statis coverity (SAST), mengidentifikasi cacat kualitas perangkat lunak kritis dan kerentanan keamanan untuk memastikan kode yang aman, berkualitas lebih tinggi, dan sesuai dengan standar seperti ISO-9001 dan SEI CMMI Level 5.

Black Duck SCA memberikan FPT solusi komprehensif untuk mengelola keamanan, kualitas, dan risiko kepatuhan lisensi yang berasal dari penggunaan kode sumber terbuka dan pihak ketiga dalam aplikasi dan wadah.

“Synopsys telah melampaui harapan kami dalam pemindaian kode dan peningkatan pemeriksaan keamanan.” kata Do Van Khac. “Coverity dan Black Duck memberi kami alat untuk meningkatkan kualitas perangkat lunak dan juga kepuasan pelanggan secara signifikan. Berkat Coverity, kami telah mencapai kepatuhan terhadap masalah keamanan yang tercantum dalam OWASP Top 10, yang menunjukkan kemampuan kami untuk mengatasi risiko keamanan paling kritis pada aplikasi web. ”

Hasilnya: Membantu Pengembang Menjadi Lebih Produktif

Synopsys Coverity dan Black Duck digunakan oleh FPT untuk mengelola rata-rata 200 proyek per tahun, mengintegrasikan kedua alat AST ke dalam build Jenkins mereka.

“Synopsys telah memecahkan sejumlah masalah bagi kami,” kata Do Van Khac. “Setelah mengadopsi Coverity pada 2015 dan Black Duck pada 2019 kami cukup puas dengan pengujian keamanan aplikasi Synopsys. Evaluasi kami menunjukkan bahwa Synopsys membantu pengembang kami menjadi lebih produktif dengan mengidentifikasi masalah yang relevan dengan kurang dari 10% positif palsu atau negatif. Kemampuan pelaporan yang kaya dari alat ini memberi kami wawasan waktu nyata tentang tren yang muncul sehingga kami dapat mengatasi masalah lebih cepat dan meminimalkan risiko. Kami akan sangat menyarankan alat AST Synopsys untuk semua perusahaan, terutama yang berspesialisasi dalam Sistem Tertanam di mana kualitas kode adalah yang terpenting. ”

Tentang Grup Integritas Perangkat Lunak Synopsys

Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

# # #