Ведущая техническая группа Вьетнама FPT Software повышает качество и безопасность кода с помощью решений Synopsys

markus-spiske-hvSr_CVecVI-unsplash

Краткое содержание редактора: ведущая вьетнамская группа компаний по разработке программного обеспечения и технологий FPT Software со штаб-квартирой в Ханое выбрала инструменты тестирования безопасности приложений Synopsys для повышения качества и безопасности своего кода. Пресс-релиз производителя находится ниже.

Программное обеспечение FPT повышает качество и безопасность кода с помощью решений для тестирования безопасности приложений Synopsys

Сингапур, @mcgallen #microwireinfo, 14 октября 2020 г. - Synopsys, Inc., признанный лидер в области безопасности приложений, недавно расширила поддержку тестирования безопасности для программного обеспечения FPT, направляя их в выявлении и устранении проблем программного обеспечения на ранних этапах процесса разработки программного обеспечения.

FPT Software предлагает своим клиентам услуги полного жизненного цикла, включая проектирование, разработку, миграцию и модернизацию программного обеспечения. Предоставление программных компонентов для клиентских систем часто означает работу с устаревшим кодом и архитектурами, изначально не предназначенными для современных взаимосвязанных сред. Они должны быть тщательно проверены на качество и безопасность, необходимые для современных современных приложений.

«Завоевание доверия клиентов - наша первоочередная задача, и мы постоянно уделяем внимание повышению безопасности кода», - говорит До Ван Кхак, директор по доставке и исполнительный вице-президент FPT Software. «Мы часто сталкиваемся с рисками, связанными с несовместимостью устаревшего кода и архитектур, что привело к увеличению затрат на исправление. Мы выбрали инструменты для улучшения качества кода и безопасности как можно раньше в жизненном цикле разработки ».

Помогая выявлять и устранять проблемы программного обеспечения на ранних этапах процесса разработки, Статический анализ покрытия не только ускоряет проверку кода FPT для повышения качества и безопасности кода, но также помогает FPT снизить необходимость и стоимость решения этих проблем в дальнейшем.

В связи с растущим использованием компонентов и библиотек с открытым исходным кодом в разработке программного обеспечения клиенты FPT попросили компанию расширить их тестирование программного обеспечения, включив в него анализ состава программного обеспечения (SCA). FPT внедрила Synopsys Black Duck SCA в 2019 году, и сегодня FPT использует Coverity и Black Duck практически для всех своих программных проектов.

Решение о внедрении решения SCA также подтверждается выводами Отчет по безопасности и анализу рисков с открытым исходным кодом (OSSRA) за 2020 год где 99% кодовых баз, проверенных командой Black Duck Audit в 2019 году, содержали открытый исходный код. Кроме того, 100% кодовых баз из девяти из 17 отраслей, охваченных исследованием, содержали как минимум один компонент с открытым исходным кодом.

Поскольку сообщество разработчиков ПО с открытым исходным кодом выпускает обновления функций и исправления безопасности, организациям необходимо иметь способ выявлять, отслеживать и ответственно управлять законным использованием открытого исходного кода с его растущим присутствием в коммерческом программном обеспечении. Это может быть идентификация лицензии, процесс исправления известных уязвимостей и политики для устранения устаревших и неподдерживаемых пакетов с открытым исходным кодом.

Вызывает тревогу количество компаний, потребляющих компоненты с открытым исходным кодом, которые не применяют исправления безопасности, открывая свой бизнес для потенциальных вторжений и атак кибербезопасности.

«С ускорением внедрения технологий и онлайн-решений во время пандемии предприятия будут стремиться к повышению эффективности разработки приложений за счет более широкого использования технологий с открытым исходным кодом. Безопасность, обновления, исправления и лицензионные обязательства могут привести к неожиданным рискам, поэтому использование открытого исходного кода должно управляться иначе, чем использование коммерческого программного обеспечения », - сказал Тан Геок-Ченг, управляющий директор Synopsys Software Integrity Group.

Среди кодовых баз, проверенных для отчета OSSRA за 2020 год, 75% содержали хотя бы одну общедоступную уязвимость, что выше 60% в 2018 году, и в среднем на каждую кодовую базу было обнаружено 82 уязвимости. Точно так же процент уязвимостей с высоким уровнем риска увеличился до 49% в 2019 году по сравнению с 40% в 2018 году.

Решение для программного обеспечения FPT: Coverity SAST и Black Duck SCA

Статическое тестирование безопасности приложений (SAST) от Coverity выявляет критические дефекты качества программного обеспечения и уязвимости, чтобы гарантировать безопасность, высокое качество кода и соответствие таким стандартам, как ISO-9001 и SEI CMMI Level 5.

Black Duck SCA предоставляет FPT комплексное решение для управления рисками, связанными с безопасностью, качеством и лицензионным соответствием, которые возникают в результате использования открытого исходного кода и стороннего кода в приложениях и контейнерах.

«Synopsys превзошла наши ожидания в улучшении сканирования кода и проверки безопасности». - говорит До Ван Кхак. «Coverity и Black Duck предоставляют нам инструменты для значительного улучшения качества нашего программного обеспечения и удовлетворенности клиентов. Благодаря Coverity мы достигли соответствия требованиям безопасности, перечисленным в рейтинге OWASP Top 10, что демонстрирует нашу способность устранять наиболее серьезные риски безопасности для веб-приложений ».

Результаты: помощь разработчикам в повышении продуктивности

Synopsys Coverity и Black Duck используются FPT для управления в среднем 200 проектами в год, интегрируя оба инструмента AST в свои сборки Jenkins.

«Synopsys решила для нас ряд проблем, - говорит До Ван Кхак. «После внедрения Coverity в 2015 году и Black Duck в 2019 году мы вполне удовлетворены тестированием безопасности приложений Synopsys. Наши оценки показывают, что Synopsys помогает нашим разработчикам работать более продуктивно, выявляя соответствующие проблемы с менее чем 10% ложных срабатываний или отрицательных результатов. Обширные возможности создания отчетов в этих инструментах позволяют нам в режиме реального времени получать информацию о возникающих тенденциях, чтобы мы могли быстрее решать проблемы и минимизировать риски. Мы настоятельно рекомендуем инструменты Synopsys AST всем предприятиям, особенно тем, которые специализируются на встраиваемых системах, где качество кода имеет первостепенное значение ».

О группе обеспечения целостности программного обеспечения Synopsys

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

###