主页
Case Studies
IBM 软件开发组织
IBM Concert 是基于 IBM® watsonx 技术的解决方案,旨在优化应用管理和运营。负责该产品的开发团队面临着巨大压力,他们不仅需要将产品全面上市 (GA),还需要满足 IBM 对降低产品代码安全风险的严格要求。
对于各地的产品开发团队来说,这是一个再熟悉不过的挑战:在开发的同时,安全评估工具扫描代码并生成数百或数千个常见漏洞风险 (CVE) 列表。大多数 CVE 并不关键,但筛选列表和确定修复的优先顺序的工作可能会大大减缓开发速度。如果直到开发周期的后期才发现关键问题,则需要花费大量时间进行重建和重新测试。因此,产品准备情况(以及最终的收入)与适当的 CVE 管理息息相关。
幸运的是,对于 Concert 开发团队来说,一个创新的解决方案就在他们面前。Concert 支持的核心用例之一是简化 CVE 管理。因此,该产品的开发人员成为了它的首批满意客户。
借助 Concert,开发团队创建了一种更智能、更简化的 CVE 管理方法。此前,该团队依靠一对第三方安全评估工具来生成唯一的 CVE 列表,其中包括优先级分数。然后,该团队将手动分析和关联两个列表,并随后与 IBM 首席信息安全官 (CISO) 办公室沟通,就优先事项达成一致。
现在,来自第三方工具的数据会输入 Concert,后者会生成具有更智能优先级的统一 CVE 列表。该软件的底层 AI 分析每个 CVE 与应用的整个环境(包括连接和入口点)的关系,并在其优先级排名中考虑这一点。
CVE 和优先级分数也显示在图形地图上,帮助开发人员快速了解每个 CVE 与应用的关系以及首先需要执行哪些工作。“Concert 比其他扫描工具走得更远,”IBM 的 QA 和安全与发布工程项目总监 Mahesh Dashora 说道,“我们更深入地了解风险,从而可以更快地解决重要问题。”
该团队还受益于 Concert 的以下额外功能:
当团队首次使用 Concert for CVE 管理时,它面临着大约 200 个未解决的 CVE 问题。通常情况下,审查和分类这么多项目,并确保按优先顺序获得批准和采取补救措施,需要花费超过八个人周 (PW) 的时间。通过优先处理 Concert 中的操作,团队减少了人工分类和分析的工作量,只需要六个 PW 来处理未解决的问题。
通过节省这些时间,该团队超额完成了 GA 目标。IBM 软件开发副总裁 Vikram Murali 表示:“使用 IBM Concert 管理关键漏洞,使我们能够将扫描时间缩短 25%,并提前四天成功实现 Concert 的 GA。”
当然,故事并没有随着该软件的首次发布而结束。产品的开发将继续,CVE 管理周期也将继续。但开发团队已经创造一个良性循环,并将继续保持下去。“我们能够更快地找到正确的解决方案,并最终降低整体风险,”Dashora 说,“然后我们将节省下来的时间进行再投资,花更多时间在 IBM Concert 中构建新的功能。”
IBM 软件开发组织是一个全球性团队,负责推动公司的软件解决方案组合,包括内部和面向客户的解决方案。该集团拥有人工智能、云计算、网络安全等领域的专业知识,专注于打造促进各行业创新的尖端产品。
© Copyright IBM Corporation 2024。IBM、IBM 徽标、IBM Concert 和 IBM watsonx 是 IBM Corp. 在美国和/或其他国家或地区的商标或注册商标。本文档自发布之日起生效,并可能随时由 IBM 进行修改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
插图中的客户示例展示了客户使用 IBM 产品的方式,以及他们可能已取得的结果。实际性能、成本、节省情况或其他结果可能因具体运营环境不同而异。