Startseite
Kundenreferenzen
IBM Software Development Organization
IBM Concert® basiert auf der IBM watsonx®-Technologie und ist eine Lösung zur Optimierung des Anwendungsmanagements und -betriebs. Das für dieses Angebot verantwortliche Entwicklungsteam stand unter dem Druck, das Produkt zur allgemeinen Verfügbarkeit (General Availability, GA) zu bringen und gleichzeitig die strengen Anforderungen von IBM zur Minderung von Sicherheitsrisiken im Produktcode zu erfüllen.
Produktentwicklungsteams auf der ganzen Welt kennen diese Herausforderung: Parallel zur Entwicklung scannen Sicherheitsbewertungstools den Code und generieren Listen mit Hunderten oder Tausenden von häufigen Schwachstellen und Risiken (Common Vulnerabilities and Exposures, CVEs). Die meisten CVEs sind nicht kritisch, aber das Durchsuchen der Listen und die Priorisierung von Sanierungsmaßnahmen kann die Entwicklung erheblich verlangsamen. Wenn kritische Probleme erst spät im Entwicklungszyklus entdeckt werden, kann viel Zeit in die Neuerstellung und erneute Tests fließen. Daher sind die Produktreife – und letztendlich der Umsatz – an ein ordnungsgemäßes CVE-Management gebunden.
Zum Glück für das Concert-Entwicklerteam lag eine innovative Lösung direkt vor ihnen. Einer der Kernanwendungsfälle, die von Concert unterstützt werden, ist die Rationalisierung des CVE-Managements. So wurden die Entwickler des Produkts zu einigen der ersten zufriedenen Kunden.
Mit Concert entwickelte das Entwicklungsteam einen intelligenteren, effizienteren Ansatz für die Verwaltung von CVEs. Bisher verließ sich das Team auf zwei Sicherheits-Bewertungstools von Drittanbietern, die jeweils eigene Listen von CVEs mit Prioritätsbewertungen generierten. Das Team würde dann die beiden Listen manuell analysieren und in Beziehung setzen und anschließend mit dem Büro des IBM Chief Information Security Officer (CISO) kommunizieren, um Prioritäten zu vereinbaren.
Jetzt werden die Daten aus den Tools von Drittanbietern in Concert eingespeist, wo eine einheitliche CVE-Liste mit einer intelligenteren Priorisierung erstellt wird. Die der Software zugrunde liegende KI analysiert, wie sich jede CVE auf die gesamte Umgebung der Anwendung auswirkt, einschließlich Verbindungen und Einstiegspunkte, und berücksichtigt dies in ihrer Prioritätenrangfolge.
Die CVEs und Prioritätsbewertungen werden auch auf einer grafischen Karte angezeigt, sodass Entwickler schnell erkennen können, wie sich die einzelnen CVEs auf die Anwendung auswirken und wo zuerst Handlungsbedarf besteht. „Concert geht weiter als die anderen Scan-Tools“, sagt Mahesh Dashora, Programmdirektor für Qualitätssicherung und Sicherheit und Release Engineering bei IBM. „Wir erhalten einen besseren Einblick in die Risiken, sodass wir die wichtigen Probleme schneller angehen können.“
Das Team profitierte auch von diesen zusätzlichen Concert-Funktionen:
Als das Team Concert for CVE erstmals für das Management einsetzte, gab es etwa 200 offene CVE-Probleme. Normalerweise hätte die Überprüfung und Einstufung dieser vielen Punkte und die Einholung von Genehmigungen für Maßnahmen mit hoher Priorität und Abhilfemaßnahmen mehr als acht Personenwochen (PW) Arbeit in Anspruch genommen. Durch die Priorisierung von Maßnahmen mit Concert konnte das Team seinen manuellen Einstufungs- und Analyseaufwand reduzieren und benötigte nur sechs PW, um die offenen Fragen zu bearbeiten.
Dank dieser Zeitersparnis konnte das Team sein allgemeines Verfügbarkeitsziel (General Availability, GA) übertreffen. Laut Vikram Murali, Vizepräsident für Softwareentwicklung bei IBM, „konnten wir durch die Verwendung von IBM Concert zur Verwaltung kritischer Schwachstellen die Scan-Zeit um 25 % verkürzen und die allgemeine Verfügbarkeit von Concert vier Tage früher als geplant erreichen.“
Natürlich endet die Geschichte nicht mit der ersten Veröffentlichung der Software. Die Entwicklung des Produkts wird ebenso fortgesetzt wie der CVE-Managementzyklus. Aber das Entwicklerteam hat einen positiven Kreislauf geschaffen, und es wird ihn am Laufen halten. „Wir kommen schneller zu den richtigen Lösungen und reduzieren letztendlich das Gesamtrisiko“, sagt Dashora. “Und dann investieren wir die eingesparte Zeit wieder und investieren mehr Zeit in die Entwicklung neuer Funktionen für IBM Concert.“
IBM Software Development Organization ist ein globales Team, das das Softwarelösungsportfolio des Unternehmens vorantreibt, einschließlich interner und kundenorientierter Lösungen. Mit ihrer Expertise in den Bereichen künstliche Intelligenz, Cloud-Computing, Cybersicherheit und mehr konzentriert sich die Gruppe auf die Entwicklung innovativer Produkte, die Innovationen in allen Branchen fördern.
© Copyright IBM Corporation 2024. IBM, das IBM Logo, IBM Concert und IBM watsonx sind Marken oder eingetragene Marken der IBM Corp. in den USA und/oder anderen Ländern. Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Alle angeführten Beispiele illustrieren lediglich, wie einige Kunden IBM Produkte verwendet haben und welche Ergebnisse sie dabei erzielt haben. Tatsächliche Leistung, Kosten, Einsparungen oder andere Ergebnisse in anderen Betriebsumgebungen können abweichen.