越南领先的技术小组FPT Software通过Synopsys的解决方案提高了代码质量和安全性

markus-spiske-hvSr_CVecVI-不飞溅

编辑简介:越南领先的技术和软件集团FPT Software总部位于河内,已选择了应用程序安全领导者Synopsys的应用程序安全测试工具来提高其代码质量和安全性。 供应商的新闻发布如下。

FPT软件通过Synopsys应用程序安全测试解决方案提高了代码质量和安全性

新加坡,@mcgallen#microwire资讯,14年2020月XNUMX日 – Synopsys,Inc.是应用程序安全性的公认领导者,最近扩展了对FPT软件的安全性测试支持,指导他们在软件开发过程的早期识别和修复软件问题。

FPT Software为客户提供完整的生命周期服务,包括软件设计,开发,迁移和现代化。 为客户的系统提供软件组件通常意味着使用原来不是为现代互连环境设计的遗留代码和体系结构。 必须对它们进行严格的测试,以检测当今现代应用程序所需的质量和安全性。

FPT Software首席交付官兼执行副总裁Do Van Khac说:“赢得客户的信任是我们的首要任务,我们一直致力于提高代码的安全性。” “我们经常会遇到由于不兼容的旧代码和体系结构而带来的风险,这导致补救成本增加。 我们采用了研究工具的方式,以在开发生命周期中尽早提高代码质量和安全性。”

通过在开发过程的早期帮助识别和修复软件问题, 覆盖范围静态分析 不仅加速了FPT代码审查以提高代码质量和安全性,而且还帮助FPT减少了以后解决这些问题的需要和成本。

随着开源组件和库在软件开发中的使用日益广泛,FPT客户要求该公司将其软件测试扩展到包括 软件组成分析(SCA)。 FPT在2019年实施了Synopsys的Black Duck SCA,如今FPT使用Coverity和Black Duck进行了几乎所有的软件项目测试。

SCA解决方案的发现进一步支持了实施SCA解决方案的决定。 2020年开源安全性和风险分析(OSSRA)报告 Black Duck Audit团队在99年审核的代码库中有2019%包含开源。 此外,研究涵盖的100个行业中的17个行业的XNUMX%的代码库至少包含一个开源组件。

随着开源社区问题发布功能更新和安全补丁,组织需要有一种方法来识别,跟踪和负责任地管理合法的开源使用,以及其在商业软件中的日益普及。 这些可能包括许可证标识,修补已知漏洞的过程以及解决过时且不受支持的开源软件包的策略。

数量惊人的使用开放源代码组件的公司没有应用安全补丁,从而使他们的业务面临潜在的网络安全入侵和攻击。

“随着大流行期间技术的采用和在线解决方案的加速,企业将通过增加使用开源技术来寻求应用程序开发的效率。 安全,更新,补丁和许可义务可能会带来意想不到的风险,这就是为什么开源使用与商业软件需要进行不同管理的原因。” Synopsys软件完整性集团董事总经理Tan Geok-Cheng说。

在针对2020 OSSRA报告进行审核的代码库中,有75%包含至少一个公共漏洞,比60年的2018%有所增加,并且每个代码库平均识别出82个漏洞。 同样,高风险漏洞的百分比在49年增至2019%,而40年为2018%。

FPT软件的解决方案:Coverity SAST和Black Duck SCA

Coverity静态应用程序安全性测试(SAST)可识别关键的软件质量缺陷和安全漏洞,以确保代码安全,更高质量并符合ISO-9001和SEI CMMI Level 5等标准。

Black Duck SCA为FPT提供了全面的解决方案,用于管理安全性,质量和许可证合规性风险,这些风险来自在应用程序和容器中使用开源和第三方代码。

“ Synopsys在代码扫描和安全检查增强方面超出了我们的期望。” 多范哈克(Do Van Khac)说。 “ Coverity和Black Duck为我们提供了可显着提高软件质量和客户满意度的工具。 多亏了Coverity,我们已经达到了OWASP Top 10中列出的安全性问题,证明了我们具有解决Web应用程序最严重的安全风险的能力。”

结果:帮助开发人员提高生产力

FPT使用Synopsys Coverity和Black Duck来平均每年管理200个项目,并将这两个AST工具集成到其Jenkins版本中。

“ Synopsys为我们解决了许多问题,” Do Van Khac说。 “在2015年采用Coverity和2019年采用Black Duck之后,我们对Synopsys应用程序安全测试非常满意。 我们的评估表明,Synopsys通过识别假阳性或阴性假率低于10%的相关问题,帮助我们的开发人员提高生产率。 该工具的丰富报告功能为我们提供了对新兴趋势的实时洞察,因此我们可以更快地解决问题并最大程度地降低风险。 我们将向所有企业强烈推荐Synopsys AST工具,尤其是那些专注于代码质量至关重要的嵌入式系统的企业。”

关于Synopsys软件完整性小组

Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度地提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 www.synopsys.com/software.

###