ベトナムを代表する技術グループFPTSoftwareは、Synopsysのソリューションでコードの品質とセキュリティを向上させます

markus-spiske-hvSr_CVecVI-unsplash

編集者の概要:ハノイに本社を置くベトナムの大手技術およびソフトウェアグループであるFPT Softwareは、コードの品質とセキュリティを向上させるために、アプリケーションセキュリティのリーダーであるSynopsysのアプリケーションセキュリティテストツールを選択しました。 ベンダーのニュースリリースは以下のとおりです。

FPTソフトウェアは、Synopsysアプリケーションセキュリティテストソリューションでコードの品質とセキュリティを強化します

シンガポール、@ mcgallen#microwire情報、14年2020月XNUMX日 –アプリケーションセキュリティのリーダーとして認められているSynopsys、Inc。は、最近FPTソフトウェアのセキュリティテストサポートを拡張し、ソフトウェア開発プロセスの早い段階でソフトウェアの問題を特定して修正するように指導しました。

FPT Softwareは、ソフトウェアの設計、開発、移行、最新化など、顧客に完全なライフサイクルサービスを提供します。 クライアントのシステムにソフトウェアコンポーネントを提供するということは、多くの場合、元々は最新の相互接続環境向けに設計されていないレガシーコードやアーキテクチャを使用することを意味します。 これらは、今日の最新のアプリケーションに必要な品質とセキュリティについて厳密にテストする必要があります。

「クライアントの信頼を勝ち取ることが私たちの最優先事項であり、コードセキュリティの強化に常に注力しています」とFPTSoftwareの最高配信責任者兼エグゼクティブバイスプレジデントであるDoVanKhacは述べています。 「互換性のないレガシーコードとアーキテクチャに起因するリスクに遭遇することがよくあり、それが修復のコストの増加につながりました。 開発ライフサイクルのできるだけ早い段階で、コードの品質とセキュリティを向上させるためのツールを検討するという道を歩みました。」

開発プロセスの早い段階でソフトウェアの問題を特定して修正するのを支援することにより、 コベリティ静的分析 FPTコードレビューを加速してコードの品質とセキュリティを向上させるだけでなく、FPTが後でこれらの問題に対処する必要性とコストを削減するのにも役立ちます。

ソフトウェア開発でのオープンソースコンポーネントとライブラリの使用が増えるにつれ、FPTの顧客は、ソフトウェアテストを拡張して次のものを含めるように要求しました。 ソフトウェア構成分析(SCA)。 FPTは2019年にSynopsysのBlackDuck SCAを実装し、現在FPTは実質的にすべてのソフトウェアプロジェクトテストにCoverityとBlackDuckを使用しています。

SCAソリューションを実装するという決定は、 2020 Open Source Security and Risk Analysis(OSSRA)レポート 99年にBlackDuck Auditチームによって監査されたコードベースの2019%にオープンソースが含まれていました。 さらに、調査対象の100の業界のうち17つのコードベースのXNUMX%に、少なくともXNUMXつのオープンソースコンポーネントが含まれていました。

オープンソースコミュニティが機能の更新とセキュリティパッチを発行するにつれて、組織は、商用ソフトウェアでの存在感が増す中で、合法的なオープンソースの使用を識別、追跡、および責任を持って管理する方法を用意する必要があります。 これらには、ライセンスの識別、既知の脆弱性にパッチを適用するプロセス、および古くてサポートされていないオープンソースパッケージに対処するためのポリシーが含まれる場合があります。

オープンソースコンポーネントを消費している驚くべき数の企業は、セキュリティパッチを適用しておらず、潜在的なサイバーセキュリティの侵入や悪用にビジネスを開放しています。

「パンデミックの間のテクノロジー採用とオンラインソリューションの加速により、企業はオープンソーステクノロジーの使用の増加を活用することにより、アプリケーション開発の効率を追求するでしょう。 シノプシスソフトウェアインテグリティグループのマネージングディレクターであるTanGeok-Chengは、次のように述べています。セキュリティ、アップデート、パッチ、ライセンス義務により、予期しないリスクが発生する可能性があります。そのため、オープンソースの使用を商用ソフトウェアとは異なる方法で管理する必要があります。

2020 OSSRAレポートで監査されたコードベースの中で、75%に少なくとも60つの公開脆弱性が含まれ、2018年の82%から増加し、コードベースごとに平均49の脆弱性が特定されました。 同様に、リスクの高い脆弱性の割合は、2019年の40%に対して、2018年にはXNUMX%に増加しました。

FPTソフトウェアのソリューション:CoveritySASTとBlackDuck SCA

Coverity static application security test(SAST)は、重大なソフトウェア品質の欠陥とセキュリティの脆弱性を特定し、安全で高品質で、ISO-9001やSEICMMIレベル5などの標準に準拠したコードを保証します。

Black Duck SCAは、アプリケーションとコンテナでのオープンソースおよびサードパーティのコードの使用に起因するセキュリティ、品質、およびライセンスコンプライアンスのリスクを管理するための包括的なソリューションをFPTに提供します。

「シノプシスは、コードスキャンとセキュリティチェックの強化において私たちの期待を上回りました。」 Do VanKhacは言います。 「CoverityとBlackDuckは、ソフトウェアの品質と顧客満足度を大幅に向上させるためのツールも提供してくれます。 Coverityのおかげで、OWASPトップ10にリストされているセキュリティ問題への準拠を達成し、Webアプリケーションに対する最も重大なセキュリティリスクに対処する能力を実証しました。」

結果:開発者の生産性向上を支援

SynopsysCoverityとBlackDuckは、FPTが年間平均200のプロジェクトを管理するために使用しており、両方のASTツールをJenkinsビルドに統合しています。

「シノプシスは私たちにとって多くの問題を解決してくれました」とDoVanKhacは言います。 「2015年にCoverityを採用し、2019年にBlack Duckを採用した後、Synopsysアプリケーションのセキュリティテストに非常に満足しています。 私たちの評価によると、シノプシスは、誤検知または誤検知が10%未満の関連する問題を特定することで、開発者の生産性を向上させることができます。 ツールの豊富なレポート機能により、新たなトレンドに対するリアルタイムの洞察が得られるため、問題に迅速に対処し、リスクを最小限に抑えることができます。 Synopsys ASTツールは、すべての企業、特にコード品質が最も重要な組み込みシステムを専門とする企業に強くお勧めします。」

Synopsys Software Integrity Groupについて

Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は www.synopsys.com/software.

###