Usando o Concert, a equipe de desenvolvimento criou uma abordagem mais inteligente e simplificada para o gerenciamento de CVEs. Antes, a equipe dependia de duas ferramentas de avaliação de segurança de terceiros que geravam listas exclusivas de CVEs, incluindo pontuações de prioridade. Depois disso, a equipe analisava e correlacionava manualmente as duas listas e, posteriormente, se comunicava com o escritório do Chief Information Security Officer (CISO) da IBM para chegar a um acordo sobre as prioridades.
Agora, os dados das ferramentas de terceiros alimentam o Concert, que produz uma lista de CVEs unificada com priorização mais inteligente. A IA subjacente do software analisa como cada CVE se relaciona com todo o ambiente da aplicação, incluindo conexões e pontos de entrada, e contabiliza isso em sua classificação de prioridade.
As CVEs e as pontuações de prioridade também são exibidas em um mapa gráfico, ajudando os desenvolvedores a entender com rapidez como cada CVE se relaciona com a aplicação e onde o trabalho é necessário primeiro. “O Concert vai além das outras ferramentas de verificação”, afirma Mahesh Dashora, que ocupa o cargo de Program Director of QA and Security and Release Engineering na IBM. “Estamos conseguindo melhores insights sobre exposições para resolvermos os itens importantes mais rápido”.
A equipe também se beneficiou dessas funcionalidades adicionais do Concert:
- O Concert exibe CVEs duplicadas, ajudando a equipe a corrigir problemas em vários lugares com uma única remediação.
- O Concert fornece um dashboard que exibe claramente as CVEs, as pontuações de prioridade e o contexto de apoio, permitindo um alinhamento eficiente com o escritório do diretor de segurança da informação.
- O Concert pode ser integrado ao GitHub, viabilizando o preenchimento rápido de solicitações de serviço com detalhes de remediação para acelerar as correções.
- O Concert disponibiliza um armazenamento de evidências para documentar todas as decisões relacionadas às CVEs, permitindo a prontidão para auditoria.