Início
Estudos de caso
Organização de desenvolvimento de software da IBM
Baseado na tecnologia IBM® watsonx, o IBM® Concert é uma solução criada para otimizar o gerenciamento e as operações de aplicações. A equipe de desenvolvimento responsável por esse produto estava sob pressão para entregá-lo à disponibilidade geral (GA) e, ao mesmo tempo, atender aos rigorosos requisitos da IBM para minimizar os riscos de segurança no código do produto.
É um desafio conhecido pelas equipes de desenvolvimento de produtos em todos os lugares: em paralelo com o desenvolvimento, as ferramentas de avaliação de segurança verificam o código e geram listas de centenas ou milhares de vulnerabilidades e exposições comuns (CVEs). A maioria das CVEs não é crítica, mas o trabalho de examinar as listas e priorizar as remediações pode atrasar significativamente o desenvolvimento. Se os problemas críticos não forem descobertos até o final do ciclo de desenvolvimento, muito tempo pode ser gasto em novas compilações e testes. Assim, a prontidão do produto e, em última análise, a receita estão vinculadas ao gerenciamento adequado das CVEs.
Para a equipe de desenvolvimento do Concert, felizmente uma solução inovadora estava bem à sua frente. Um dos principais casos de uso do Concert é a simplificação do gerenciamento de CVEs. Por isso, os próprios desenvolvedores do produto se tornaram alguns de seus primeiros clientes satisfeitos.
Usando o Concert, a equipe de desenvolvimento criou uma abordagem mais inteligente e simplificada para o gerenciamento de CVEs. Antes, a equipe dependia de duas ferramentas de avaliação de segurança de terceiros que geravam listas exclusivas de CVEs, incluindo pontuações de prioridade. Depois disso, a equipe analisava e correlacionava manualmente as duas listas e, posteriormente, se comunicava com o escritório do Chief Information Security Officer (CISO) da IBM para chegar a um acordo sobre as prioridades.
Agora, os dados das ferramentas de terceiros alimentam o Concert, que produz uma lista de CVEs unificada com priorização mais inteligente. A IA subjacente do software analisa como cada CVE se relaciona com todo o ambiente da aplicação, incluindo conexões e pontos de entrada, e contabiliza isso em sua classificação de prioridade.
As CVEs e as pontuações de prioridade também são exibidas em um mapa gráfico, ajudando os desenvolvedores a entender com rapidez como cada CVE se relaciona com a aplicação e onde o trabalho é necessário primeiro. “O Concert vai além das outras ferramentas de verificação”, afirma Mahesh Dashora, que ocupa o cargo de Program Director of QA and Security and Release Engineering na IBM. “Estamos conseguindo melhores insights sobre exposições para resolvermos os itens importantes mais rápido”.
A equipe também se beneficiou dessas funcionalidades adicionais do Concert:
- O Concert exibe CVEs duplicadas, ajudando a equipe a corrigir problemas em vários lugares com uma única remediação.
- O Concert fornece um dashboard que exibe claramente as CVEs, as pontuações de prioridade e o contexto de apoio, permitindo um alinhamento eficiente com o escritório do diretor de segurança da informação.
- O Concert pode ser integrado ao GitHub, viabilizando o preenchimento rápido de solicitações de serviço com detalhes de remediação para acelerar as correções.
- O Concert disponibiliza um armazenamento de evidências para documentar todas as decisões relacionadas às CVEs, permitindo a prontidão para auditoria.
Quando a equipe utilizou o Concert para o gerenciamento de CVEs pela primeira vez, enfrentou cerca de 200 problemas de CVEs em aberto. Normalmente, avaliações e triagem de tantos itens e a obtenção de aprovações sobre a ordem de prioridade e as ações de remediação teria exigido mais de oito semanas de trabalho individual (PW). Ao priorizar ações com o Concert, a equipe reduziu seus esforços manuais de triagem e análise, precisando de apenas seis PW para processar os problemas em aberto.
Com essa economia de tempo, a equipe atingiu sua meta em relação à disponibilidade geral. De acordo com Vikram Murali, Vice President of Software Development da IBM, “o uso do IBM Concert para gerenciar vulnerabilidades críticas nos permitiu reduzir o tempo de verificação em 25% e garantir a disponibilidade geral do Concert quatro dias antes do previsto”.
É claro que a história não termina com o primeiro lançamento do software. O desenvolvimento do produto continua, assim como o ciclo de gerenciamento das CVEs. Contudo, a equipe de desenvolvimento criou um círculo virtuoso que será mantido. “Estamos chegando às soluções certas mais rápido e, em última análise, reduzindo o risco geral”, comemora Dashora. “Com isso, estamos reinvestindo o tempo economizado, nos dedicando mais à incorporação de novos recursos ao IBM Concert.”
A organização de desenvolvimento de software da IBM é uma equipe global que conduz o portfólio de soluções de software da empresa, incluindo soluções internas e voltadas para o cliente. Com experiência em inteligência artificial, computação em nuvem, cibersegurança e outras especialidades, o grupo se concentra na criação de produtos de ponta que promovem a inovação em todos os setores.
Legal
© Copyright IBM Corporation 2024. IBM, o logotipo da IBM, IBM Concert e IBM watsonx são marcas comerciais ou marcas registradas da IBM Corp. nos EUA e/ou em outros países. As informações contidas neste documento estavam atualizadas na data de sua publicação inicial e podem ser alteradas pela IBM sem aviso prévio. Nem todas as ofertas estão disponíveis em todos os países onde a IBM opera.
Os exemplos de clientes são ilustrações de como esses clientes utilizaram os produtos da IBM e os resultados que podem ter alcançado. O desempenho, o custo e a economia reais ou outros resultados em outros ambientes operacionais podem variar.