Minha IBM Efetue login

Início

Estudos de caso

Organização de desenvolvimento de software da IBM

 Melhor gerenciamento de CVEs e desenvolvimento mais rápido com IA

Melhor gerenciamento de CVEs e desenvolvimento mais rápido com IA
Organização de desenvolvimento de software da IBM
Colegas visualizando um mapa de CVEs no IBM Concert
O desafio de sustentar a segurança do código sem desacelerar o desenvolvimento

O desafio de sustentar a segurança do código sem desacelerar o desenvolvimento

Baseado na tecnologia IBM® watsonx, o IBM® Concert é uma solução criada para otimizar o gerenciamento e as operações de aplicações. A equipe de desenvolvimento responsável por esse produto estava sob pressão para entregá-lo à disponibilidade geral (GA) e, ao mesmo tempo, atender aos rigorosos requisitos da IBM para minimizar os riscos de segurança no código do produto.   

É um desafio conhecido pelas equipes de desenvolvimento de produtos em todos os lugares: em paralelo com o desenvolvimento, as ferramentas de avaliação de segurança verificam o código e geram listas de centenas ou milhares de vulnerabilidades e exposições comuns (CVEs). A maioria das CVEs não é crítica, mas o trabalho de examinar as listas e priorizar as remediações pode atrasar significativamente o desenvolvimento. Se os problemas críticos não forem descobertos até o final do ciclo de desenvolvimento, muito tempo pode ser gasto em novas compilações e testes. Assim, a prontidão do produto e, em última análise, a receita estão vinculadas ao gerenciamento adequado das CVEs. 

Para a equipe de desenvolvimento do Concert, felizmente uma solução inovadora estava bem à sua frente. Um dos principais casos de uso do Concert é a simplificação do gerenciamento de CVEs. Por isso, os próprios desenvolvedores do produto se tornaram alguns de seus primeiros clientes satisfeitos.  

25% mais agilidade nas verificações de CVEs e melhor priorização 4 dias economizados no ciclo de lançamento
O Concert vai além das outras ferramentas de verificação. Estamos conseguindo melhores insights sobre as exposições para resolvermos os itens importantes mais rápido. Mahesh Dashora Program Director, QA and Security and Release Engineering IBM
Melhores insights sobre exposições críticas e remediação mais rápida

Melhores insights sobre exposições críticas e remediação mais rápida

Usando o Concert, a equipe de desenvolvimento criou uma abordagem mais inteligente e simplificada para o gerenciamento de CVEs. Antes, a equipe dependia de duas ferramentas de avaliação de segurança de terceiros que geravam listas exclusivas de CVEs, incluindo pontuações de prioridade. Depois disso, a equipe analisava e correlacionava manualmente as duas listas e, posteriormente, se comunicava com o escritório do Chief Information Security Officer (CISO) da IBM para chegar a um acordo sobre as prioridades.

Agora, os dados das ferramentas de terceiros alimentam o Concert, que produz uma lista de CVEs unificada com priorização mais inteligente. A IA subjacente do software analisa como cada CVE se relaciona com todo o ambiente da aplicação, incluindo conexões e pontos de entrada, e contabiliza isso em sua classificação de prioridade.

As CVEs e as pontuações de prioridade também são exibidas em um mapa gráfico, ajudando os desenvolvedores a entender com rapidez como cada CVE se relaciona com a aplicação e onde o trabalho é necessário primeiro. “O Concert vai além das outras ferramentas de verificação”, afirma Mahesh Dashora, que ocupa o cargo de Program Director of QA and Security and Release Engineering na IBM. “Estamos conseguindo melhores insights sobre exposições para resolvermos os itens importantes mais rápido”.   

A equipe também se beneficiou dessas funcionalidades adicionais do Concert:

  • O Concert exibe CVEs duplicadas, ajudando a equipe a corrigir problemas em vários lugares com uma única remediação.

  • O Concert fornece um dashboard que exibe claramente as CVEs, as pontuações de prioridade e o contexto de apoio, permitindo um alinhamento eficiente com o escritório do diretor de segurança da informação.

  • O Concert pode ser integrado ao GitHub, viabilizando o preenchimento rápido de solicitações de serviço com detalhes de remediação para acelerar as correções.

  • O Concert disponibiliza um armazenamento de evidências para documentar todas as decisões relacionadas às CVEs, permitindo a prontidão para auditoria.
Um círculo virtuoso: melhorias na segurança do código e mais agilidade no desenvolvimento

Um círculo virtuoso: melhorias na segurança do código e mais agilidade no desenvolvimento

Quando a equipe utilizou o Concert para o gerenciamento de CVEs pela primeira vez, enfrentou cerca de 200 problemas de CVEs em aberto. Normalmente, avaliações e triagem de tantos itens e a obtenção de aprovações sobre a ordem de prioridade e as ações de remediação teria exigido mais de oito semanas de trabalho individual (PW). Ao priorizar ações com o Concert, a equipe reduziu seus esforços manuais de triagem e análise, precisando de apenas seis PW para processar os problemas em aberto.

Com essa economia de tempo, a equipe atingiu sua meta em relação à disponibilidade geral. De acordo com Vikram Murali, Vice President of Software Development da IBM, “o uso do IBM Concert para gerenciar vulnerabilidades críticas nos permitiu reduzir o tempo de verificação em 25% e garantir a disponibilidade geral do Concert quatro dias antes do previsto”.

É claro que a história não termina com o primeiro lançamento do software. O desenvolvimento do produto continua, assim como o ciclo de gerenciamento das CVEs. Contudo, a equipe de desenvolvimento criou um círculo virtuoso que será mantido. “Estamos chegando às soluções certas mais rápido e, em última análise, reduzindo o risco geral”, comemora Dashora. “Com isso, estamos reinvestindo o tempo economizado, nos dedicando mais à incorporação de novos recursos ao IBM Concert.”
Logotipo da IBM
Sobre a organização de desenvolvimento de software da IBM

Sobre a organização de desenvolvimento de software da IBM

A organização de desenvolvimento de software da IBM é uma equipe global que conduz o portfólio de soluções de software da empresa, incluindo soluções internas e voltadas para o cliente. Com experiência em inteligência artificial, computação em nuvem, cibersegurança e outras especialidades, o grupo se concentra na criação de produtos de ponta que promovem a inovação em todos os setores.

 Componente da solução IBM Concert
Melhore a produtividade de proprietários e desenvolvedores de aplicações

O IBM Concert, com a tecnologia IBM watsonx, ajuda você a simplificar e otimizar o gerenciamento de aplicações e as operações de tecnologia com insights orientados por IA generativa.

 Saiba mais sobre o IBM Concert Ver mais estudos de caso
Legal

© Copyright IBM Corporation 2024. IBM, o logotipo da IBM, IBM Concert e IBM watsonx são marcas comerciais ou marcas registradas da IBM Corp. nos EUA e/ou em outros países. As informações contidas neste documento estavam atualizadas na data de sua publicação inicial e podem ser alteradas pela IBM sem aviso prévio. Nem todas as ofertas estão disponíveis em todos os países onde a IBM opera.

Os exemplos de clientes são ilustrações de como esses clientes utilizaram os produtos da IBM e os resultados que podem ter alcançado. O desempenho, o custo e a economia reais ou outros resultados em outros ambientes operacionais podem variar.

Produtos Testes de software Serviços Indústrias Estudos de caso (US) Dentro da IBM (US) Financiamento Desenvolvedores Parceiros comerciais IBM Consulting Suporte Localize um parceiro de negócios Carreiras Notícias mais recentes Participe de pesquisas sobre a experiência do usuário Relação com investidores Responsabilidade corporativa Sobre a IBM 100 anos IBM Brasil X LinkedIn YouTube Brasil — Português Contato Privacidade Termos de uso Acessibilidade