код на экране

Ведущая вьетнамская техническая группа FPT Software повышает качество кода и безопасность с помощью Synopsys' решения

Краткий обзор редактора: Ведущая вьетнамская группа разработчиков технологий и программного обеспечения FPT Software со штаб-квартирой в Ханое выбрала лидера в области безопасности приложений SynopsysИнструменты тестирования безопасности приложений для улучшения качества кода и безопасности. Подробнее читайте ниже.

СИНГАПУР – Synopsys, Inc., признанный лидер в области безопасности приложений, недавно расширила поддержку тестирования безопасности для FPT Software, помогая им выявлять и устранять проблемы с программным обеспечением на ранних этапах процесса разработки программного обеспечения.

FPT Software предлагает своим клиентам услуги полного жизненного цикла, включая проектирование, разработку, миграцию и модернизацию программного обеспечения. Предоставление программных компонентов для клиентских систем часто означает работу с устаревшим кодом и архитектурами, изначально не предназначенными для современных взаимосвязанных сред. Они должны быть тщательно проверены на качество и безопасность, необходимые для современных современных приложений.

«Завоевание доверия клиентов - наша первоочередная задача, и мы постоянно уделяем внимание повышению безопасности кода», - говорит До Ван Кхак, директор по доставке и исполнительный вице-президент FPT Software. «Мы часто сталкиваемся с рисками, связанными с несовместимостью устаревшего кода и архитектур, что привело к увеличению затрат на исправление. Мы выбрали инструменты для улучшения качества кода и безопасности как можно раньше в жизненном цикле разработки ».

Помогая выявлять и устранять проблемы программного обеспечения на ранних этапах процесса разработки, Статический анализ покрытия не только ускоряет проверку кода FPT для повышения качества и безопасности кода, но также помогает FPT снизить необходимость и стоимость решения этих проблем в дальнейшем.

В связи с растущим использованием компонентов и библиотек с открытым исходным кодом в разработке программного обеспечения клиенты FPT попросили компанию расширить их тестирование программного обеспечения, включив в него анализ состава программного обеспечения (SCA). Реализовано FPT SynopsysBlack Duck SCA в 2019 году, и сегодня FPT использует Coverity и Black Duck практически для всех своих программных проектов.

Решение о внедрении решения SCA также подтверждается выводами Отчет по безопасности и анализу рисков с открытым исходным кодом (OSSRA) за 2020 год где 99% кодовых баз, проверенных командой Black Duck Audit в 2019 году, содержали открытый исходный код. Кроме того, 100% кодовых баз из девяти из 17 отраслей, охваченных исследованием, содержали как минимум один компонент с открытым исходным кодом.

Поскольку сообщество разработчиков ПО с открытым исходным кодом выпускает обновления функций и исправления безопасности, организациям необходимо иметь способ выявлять, отслеживать и ответственно управлять законным использованием открытого исходного кода с его растущим присутствием в коммерческом программном обеспечении. Это может быть идентификация лицензии, процесс исправления известных уязвимостей и политики для устранения устаревших и неподдерживаемых пакетов с открытым исходным кодом.

Вызывает тревогу количество компаний, потребляющих компоненты с открытым исходным кодом, которые не применяют исправления безопасности, открывая свой бизнес для потенциальных вторжений и атак кибербезопасности.

«С ускорением внедрения технологий и онлайн-решений во время пандемии предприятия будут стремиться к повышению эффективности разработки приложений за счет более широкого использования технологий с открытым исходным кодом. Безопасность, обновления, исправления и лицензионные обязательства могут привести к неожиданным рискам, поэтому использование открытого исходного кода должно управляться иначе, чем управление коммерческим программным обеспечением», — сказал Тан Геок-Ченг, управляющий директор, Synopsys Группа целостности программного обеспечения.

Среди кодовых баз, проверенных для отчета OSSRA за 2020 год, 75% содержали хотя бы одну общедоступную уязвимость, что выше 60% в 2018 году, и в среднем на каждую кодовую базу было обнаружено 82 уязвимости. Точно так же процент уязвимостей с высоким уровнем риска увеличился до 49% в 2019 году по сравнению с 40% в 2018 году.

Решение для программного обеспечения FPT: Coverity SAST и Black Duck SCA

Статическое тестирование безопасности приложений (SAST) от Coverity выявляет критические дефекты качества программного обеспечения и уязвимости, чтобы гарантировать безопасность, высокое качество кода и соответствие таким стандартам, как ISO-9001 и SEI CMMI Level 5.

Black Duck SCA предоставляет FPT комплексное решение для управления рисками, связанными с безопасностью, качеством и лицензионным соответствием, которые возникают в результате использования открытого исходного кода и стороннего кода в приложениях и контейнерах.

Synopsys превзошел наши ожидания в области сканирования кода и улучшения проверки безопасности». говорит До Ван Кхак. «Coverity и Black Duck предоставляют нам инструменты для значительного улучшения качества нашего программного обеспечения и удовлетворенности клиентов. Благодаря Coverity мы добились соответствия требованиям безопасности, перечисленным в Топ-10 OWASP, продемонстрировав нашу способность устранять наиболее серьезные риски безопасности для веб-приложений».

Результаты: помощь разработчикам в повышении продуктивности

Synopsys FPT использует Coverity и Black Duck для управления в среднем 200 проектами в год, интегрируя оба инструмента AST в свои сборки Jenkins.

Synopsys решило для нас ряд проблем», — говорит До Ван Кхак. «После использования Coverity в 2015 году и Black Duck в 2019 году мы вполне довольны Synopsys тестирование безопасности приложений. Наши оценки показывают, что Synopsys помогает нашим разработчикам работать более продуктивно, выявляя соответствующие проблемы с менее чем 10% ложных срабатываний или отрицательных результатов. Широкие возможности отчетности инструментов позволяют нам в режиме реального времени получать информацию о возникающих тенденциях, чтобы мы могли быстрее решать проблемы и минимизировать риски. Мы настоятельно рекомендуем Synopsys Инструменты AST для всех предприятий, особенно тех, которые специализируются на встроенных системах, где качество кода имеет первостепенное значение».

###