Tập đoàn công nghệ hàng đầu Việt Nam FPT Software nâng cao chất lượng mã và bảo mật với các giải pháp của Synopsys

markus-spiske-hvSr_CVecVI-unsplash

Người biên tập: Tập đoàn phần mềm và công nghệ hàng đầu Việt Nam FPT Software, có trụ sở tại Hà Nội, đã lựa chọn công cụ kiểm tra bảo mật ứng dụng của Synopsys để cải thiện chất lượng và bảo mật mã. Dưới đây là bản phát hành tin tức của nhà cung cấp.

FPT Software Nâng cao chất lượng và bảo mật mã với Giải pháp kiểm tra bảo mật ứng dụng Synopsys

Singapore, @mcgallen #microwirethông tin, ngày 14 tháng 2020 năm XNUMX - Synopsys, Inc., công ty đi đầu trong lĩnh vực bảo mật ứng dụng, gần đây đã mở rộng hỗ trợ kiểm tra bảo mật cho FPT Software, hướng dẫn họ xác định và khắc phục sớm các sự cố phần mềm trong quá trình phát triển phần mềm.

FPT Software cung cấp đầy đủ các dịch vụ theo vòng đời cho khách hàng, bao gồm thiết kế, phát triển, di chuyển và hiện đại hóa phần mềm. Cung cấp các thành phần phần mềm cho hệ thống của khách hàng thường có nghĩa là làm việc với mã và kiến ​​trúc kế thừa không được thiết kế ban đầu cho các môi trường kết nối hiện đại. Chúng phải được kiểm tra nghiêm ngặt về chất lượng và bảo mật cần thiết cho các ứng dụng hiện đại ngày nay.

Ông Đỗ Văn Khắc, Giám đốc Giao hàng kiêm Phó Tổng Giám đốc FPT Software cho biết: “Giành được sự tin tưởng của khách hàng là ưu tiên hàng đầu của chúng tôi và chúng tôi không ngừng tập trung vào việc tăng cường bảo mật mã. “Chúng tôi thường gặp phải những rủi ro xuất phát từ mã và kiến ​​trúc kế thừa không tương thích, dẫn đến tăng chi phí khắc phục. Chúng tôi đã đi theo hướng nghiên cứu các công cụ để cải thiện chất lượng mã và bảo mật càng sớm càng tốt trong vòng đời phát triển. ”

Bằng cách giúp xác định và khắc phục sớm các sự cố phần mềm trong quá trình phát triển, Phân tích tĩnh Coverity không chỉ đẩy nhanh tiến độ rà soát mã FPT để nâng cao chất lượng và bảo mật mã mà còn giúp FPT giảm thiểu nhu cầu và chi phí giải quyết các vấn đề đó sau này.

Với việc sử dụng ngày càng nhiều các thành phần và thư viện nguồn mở trong phát triển phần mềm, khách hàng của FPT đã yêu cầu công ty mở rộng thử nghiệm phần mềm của họ để bao gồm phân tích thành phần phần mềm (SCA). FPT đã triển khai SCA Black Duck của Synopsys vào năm 2019 và ngày nay FPT sử dụng Coverity và Black Duck để kiểm tra hầu hết các dự án phần mềm của họ.

Quyết định thực hiện một giải pháp SCA được hỗ trợ thêm bởi những phát hiện của Báo cáo Phân tích Rủi ro và An ninh Nguồn Mở (OSSRA) năm 2020 trong đó 99% cơ sở mã được kiểm toán bởi nhóm Black Duck Audit vào năm 2019 chứa mã nguồn mở. Ngoài ra, 100% cơ sở mã từ chín trong số 17 ngành được đề cập trong nghiên cứu chứa ít nhất một thành phần mã nguồn mở.

Do cộng đồng nguồn mở phát sinh các vấn đề về cập nhật và vá bảo mật, các tổ chức cần có cách xác định, theo dõi và quản lý có trách nhiệm việc sử dụng nguồn mở hợp pháp với sự hiện diện ngày càng nhiều của nó trong phần mềm thương mại. Chúng có thể bao gồm nhận dạng giấy phép, quy trình vá các lỗ hổng đã biết và các chính sách để giải quyết các gói mã nguồn mở đã lỗi thời và không được hỗ trợ.

Một số lượng đáng báo động các công ty sử dụng các thành phần mã nguồn mở không áp dụng các bản vá bảo mật, mở ra doanh nghiệp của họ trước các cuộc xâm nhập và khai thác an ninh mạng tiềm ẩn.

“Với việc tăng tốc áp dụng công nghệ và các giải pháp trực tuyến trong thời kỳ đại dịch, các doanh nghiệp sẽ tìm kiếm hiệu quả trong việc phát triển ứng dụng bằng cách tận dụng việc tăng cường sử dụng các công nghệ nguồn mở. Tan Geok-Cheng, giám đốc điều hành, Synopsys Software Integrity Group, cho biết: "

Trong số các cơ sở mã được kiểm toán cho báo cáo OSSRA năm 2020, 75% chứa ít nhất một lỗ hổng công khai, tăng so với 60% của năm 2018 và trung bình 82 lỗ hổng được xác định trên mỗi cơ sở mã. Tương tự, tỷ lệ lỗ hổng bảo mật rủi ro cao tăng lên 49% vào năm 2019, thay vì 40% vào năm 2018.

Giải pháp cho FPT Software: Coverity SAST và Black Duck SCA

Kiểm tra bảo mật ứng dụng tĩnh Coverity (SAST), xác định các lỗi chất lượng phần mềm quan trọng và lỗ hổng bảo mật để đảm bảo mã an toàn, chất lượng cao hơn và tuân thủ các tiêu chuẩn như ISO-9001 và SEI CMMI Level 5.

Black Duck SCA cung cấp cho FPT giải pháp toàn diện để quản lý rủi ro tuân thủ giấy phép, chất lượng và bảo mật đến từ việc sử dụng mã nguồn mở và mã của bên thứ ba trong các ứng dụng và vùng chứa.

“Synopsys đã vượt qua sự mong đợi của chúng tôi trong việc nâng cao khả năng quét mã và kiểm tra bảo mật”. Đỗ Văn Khắc nói. “Coverity và Black Duck cung cấp cho chúng tôi các công cụ để cải thiện đáng kể chất lượng phần mềm và sự hài lòng của khách hàng. Nhờ Coverity, chúng tôi đã tuân thủ các vấn đề bảo mật được liệt kê trong Top 10 của OWASP, chứng tỏ khả năng của chúng tôi trong việc giải quyết các rủi ro bảo mật quan trọng nhất đối với các ứng dụng web. ”

Kết quả: Giúp các nhà phát triển năng suất hơn

Synopsys Coverity và Black Duck đang được FPT sử dụng để quản lý trung bình 200 dự án mỗi năm, tích hợp cả hai công cụ AST vào các bản dựng Jenkins của họ.

Ông Đỗ Văn Khắc nói: “Synopsys đã giải quyết được một số vấn đề cho chúng tôi. “Sau khi áp dụng Coverity vào năm 2015 và Black Duck vào năm 2019, chúng tôi khá hài lòng với thử nghiệm bảo mật ứng dụng Synopsys. Các đánh giá của chúng tôi chỉ ra rằng Synopsys giúp các nhà phát triển của chúng tôi làm việc hiệu quả hơn bằng cách xác định các vấn đề liên quan với ít hơn 10% dương tính giả hoặc phủ định. Khả năng báo cáo phong phú của công cụ cung cấp cho chúng tôi thông tin chi tiết theo thời gian thực về các xu hướng mới nổi để chúng tôi có thể giải quyết các vấn đề sớm hơn và giảm thiểu rủi ro. Chúng tôi thực sự giới thiệu các công cụ AST của Synopsys cho tất cả các doanh nghiệp, đặc biệt là những doanh nghiệp chuyên về Hệ thống nhúng, nơi chất lượng mã là điều tối quan trọng. ”

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys

Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

# # #