主页

Case Studies

IBM 软件开发组织

利用 AI 优化 CVE 管理和加快开发速度
IBM 软件开发组织
同事们在 IBM® Concert 中查看 CVE 映射
在不减缓开发速度的情况下支持代码安全的挑战

IBM Concert 是基于 IBM® watsonx 技术的解决方案,旨在优化应用管理和运营。负责该产品的开发团队面临着巨大压力,他们不仅需要将产品全面上市 (GA),还需要满足 IBM 对降低产品代码安全风险的严格要求。

对于各地的产品开发团队来说,这是一个再熟悉不过的挑战:在开发的同时,安全评估工具扫描代码并生成数百或数千个常见漏洞风险 (CVE) 列表。大多数 CVE 并不关键,但筛选列表和确定修复的优先顺序的工作可能会大大减缓开发速度。如果直到开发周期的后期才发现关键问题,则需要花费大量时间进行重建和重新测试。因此,产品准备情况(以及最终的收入)与适当的 CVE 管理息息相关。

幸运的是,对于 Concert 开发团队来说,一个创新的解决方案就在他们面前。Concert 支持的核心用例之一是简化 CVE 管理。因此,该产品的开发人员成为了它的首批满意客户。

25% 加快 CVE 扫描和优化优先级排序的幅度 4 天 发布周期节省的时间
Concert 比其他扫描工具走得更远。我们更深入地了解风险,从而可以更快地解决重要问题。 Mahesh Dashora QA 和安全与发布工程项目总监 IBM
更深入地了解关键风险,加快修复速度

借助 Concert,开发团队创建了一种更智能、更简化的 CVE 管理方法。此前,该团队依靠一对第三方安全评估工具来生成唯一的 CVE 列表,其中包括优先级分数。然后,该团队将手动分析和关联两个列表,并随后与 IBM 首席信息安全官 (CISO) 办公室沟通,就优先事项达成一致。

现在,来自第三方工具的数据会输入 Concert,后者会生成具有更智能优先级的统一 CVE 列表。该软件的底层 AI 分析每个 CVE 与应用的整个环境(包括连接和入口点)的关系,并在其优先级排名中考虑这一点。

CVE 和优先级分数也显示在图形地图上,帮助开发人员快速了解每个 CVE 与应用的关系以及首先需要执行哪些工作。“Concert 比其他扫描工具走得更远,”IBM 的 QA 和安全与发布工程项目总监 Mahesh Dashora 说道,“我们更深入地了解风险,从而可以更快地解决重要问题。”

该团队还受益于 Concert 的以下额外功能:

  • Concert 揭示重复的 CVE,帮助团队通过一次修复解决多个地方的问题。

  • Concert 提供的仪表板可以清晰显示 CVE、优先级分数和支持上下文,从而能够与 CISO 办公室进行有效协调。

  • Concert 可以与 GitHub 集成,有助于快速填充包含修复细节的服务工单,从而帮助加速修复。

  • Concert 提供一个证据存储,用于记录有关 CVE 的所有决定,为审计准备工作提供支持。
良性循环:提高代码安全性,同时加速开发

当团队首次使用 Concert for CVE 管理时,它面临着大约 200 个未解决的 CVE 问题。通常情况下,审查和分类这么多项目,并确保按优先顺序获得批准和采取补救措施,需要花费超过八个人周 (PW) 的时间。通过优先处理 Concert 中的操作,团队减少了人工分类和分析的工作量,只需要六个 PW 来处理未解决的问题。

通过节省这些时间,该团队超额完成了 GA 目标。IBM 软件开发副总裁 Vikram Murali 表示:“使用 IBM Concert 管理关键漏洞,使我们能够将扫描时间缩短 25%,并提前四天成功实现 Concert 的 GA。”

当然,故事并没有随着该软件的首次发布而结束。产品的开发将继续,CVE 管理周期也将继续。但开发团队已经创造一个良性循环,并将继续保持下去。“我们能够更快地找到正确的解决方案,并最终降低整体风险,”Dashora 说,“然后我们将节省下来的时间进行再投资,花更多时间在 IBM Concert 中构建新的功能。”

IBM 徽标
关于 IBM 软件开发组织

IBM 软件开发组织是一个全球性团队,负责推动公司的软件解决方案组合,包括内部和面向客户的解决方案。该集团拥有人工智能、云计算、网络安全等领域的专业知识,专注于打造促进各行业创新的尖端产品。

解决方案组件 IBM Concert™
提高应用所有者和开发人员的工作效率

IBM Concert 由 IBM watsonx 提供支持,可以帮助您通过生成式 AI 驱动的洞察分析来简化和优化应用管理和技术运营。

了解有关 IBM Concert 的更多信息 查看更多成功案例
法律信息

© Copyright IBM Corporation 2024。IBM、IBM 徽标、IBM Concert 和 IBM watsonx 是 IBM Corp. 在美国和/或其他国家或地区的商标或注册商标。本文档自发布之日起生效,并可能随时由 IBM 进行修改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。

插图中的客户示例展示了客户使用 IBM 产品的方式,以及他们可能已取得的结果。实际性能、成本、节省情况或其他结果可能因具体运营环境不同而异。