Startseite

Kundenreferenzen

IBM Software Development Organization

Besseres CVE-Management und schnellere Entwicklung mit KI
IBM Software Development Organization
Kollegen betrachten eine CVE-Karte in IBM Concert
Die Herausforderung, die Codesicherheit zu unterstützen, ohne die Entwicklung zu verzögern

IBM Concert® basiert auf der IBM watsonx®-Technologie und ist eine Lösung zur Optimierung des Anwendungsmanagements und -betriebs. Das für dieses Angebot verantwortliche Entwicklungsteam stand unter dem Druck, das Produkt zur allgemeinen Verfügbarkeit (General Availability, GA) zu bringen und gleichzeitig die strengen Anforderungen von IBM zur Minderung von Sicherheitsrisiken im Produktcode zu erfüllen.   

Produktentwicklungsteams auf der ganzen Welt kennen diese Herausforderung: Parallel zur Entwicklung scannen Sicherheitsbewertungstools den Code und generieren Listen mit Hunderten oder Tausenden von häufigen Schwachstellen und Risiken (Common Vulnerabilities and Exposures, CVEs). Die meisten CVEs sind nicht kritisch, aber das Durchsuchen der Listen und die Priorisierung von Sanierungsmaßnahmen kann die Entwicklung erheblich verlangsamen. Wenn kritische Probleme erst spät im Entwicklungszyklus entdeckt werden, kann viel Zeit in die Neuerstellung und erneute Tests fließen. Daher sind die Produktreife – und letztendlich der Umsatz – an ein ordnungsgemäßes CVE-Management gebunden. 

Zum Glück für das Concert-Entwicklerteam lag eine innovative Lösung direkt vor ihnen. Einer der Kernanwendungsfälle, die von Concert unterstützt werden, ist die Rationalisierung des CVE-Managements. So wurden die Entwickler des Produkts zu einigen der ersten zufriedenen Kunden.  

25 % schnellere CVE-Scans und bessere Priorisierung 4 Tage im Release-Zyklus gespeichert
Concert geht weiter als die anderen Scan-Tools. Wir erhalten einen besseren Einblick in die Risiken, sodass wir die wichtigen Fragen schneller lösen können. Mahesh Dashora Program Director, QA and Security and Release Engineering IBM
Bessere Einblicke in kritische Risiken, schnellere Sanierung

Mit Concert entwickelte das Entwicklungsteam einen intelligenteren, effizienteren Ansatz für die Verwaltung von CVEs. Bisher verließ sich das Team auf zwei Sicherheits-Bewertungstools von Drittanbietern, die jeweils eigene Listen von CVEs mit Prioritätsbewertungen generierten. Das Team würde dann die beiden Listen manuell analysieren und in Beziehung setzen und anschließend mit dem Büro des IBM Chief Information Security Officer (CISO) kommunizieren, um Prioritäten zu vereinbaren.

Jetzt werden die Daten aus den Tools von Drittanbietern in Concert eingespeist, wo eine einheitliche CVE-Liste mit einer intelligenteren Priorisierung erstellt wird. Die der Software zugrunde liegende KI analysiert, wie sich jede CVE auf die gesamte Umgebung der Anwendung auswirkt, einschließlich Verbindungen und Einstiegspunkte, und berücksichtigt dies in ihrer Prioritätenrangfolge.

Die CVEs und Prioritätsbewertungen werden auch auf einer grafischen Karte angezeigt, sodass Entwickler schnell erkennen können, wie sich die einzelnen CVEs auf die Anwendung auswirken und wo zuerst Handlungsbedarf besteht. „Concert geht weiter als die anderen Scan-Tools“, sagt Mahesh Dashora, Programmdirektor für Qualitätssicherung und Sicherheit und Release Engineering bei IBM. „Wir erhalten einen besseren Einblick in die Risiken, sodass wir die wichtigen Probleme schneller angehen können.“   

Das Team profitierte auch von diesen zusätzlichen Concert-Funktionen:

  • Concert zeigt doppelte CVEs an und hilft dem Team so, Probleme an mehreren Stellen mit einer einzigen Korrektur zu beheben.

  • Concert bietet ein Dashboard, das CVEs, Prioritätsbewertungen und unterstützende Zusammenhänge übersichtlich anzeigt und eine effiziente Abstimmung mit dem Büro des CISO ermöglicht.

  • Concert kann in GitHub integriert werden, was die schnelle Erstellung von Service-Tickets mit Details zur Sanierung erleichtert und die Fixes beschleunigt.

  • Concert bietet einen „Evidence Store“ zur Dokumentation aller Entscheidungen in Bezug auf CVEs, um die Audit-Bereitschaft zu unterstützen.
Ein positiver Kreislauf: Verbesserung der Sicherheit im Code bei gleichzeitiger Beschleunigung der Entwicklung

Als das Team Concert for CVE erstmals für das Management einsetzte, gab es etwa 200 offene CVE-Probleme. Normalerweise hätte die Überprüfung und Einstufung dieser vielen Punkte und die Einholung von Genehmigungen für Maßnahmen mit hoher Priorität und Abhilfemaßnahmen mehr als acht Personenwochen (PW) Arbeit in Anspruch genommen. Durch die Priorisierung von Maßnahmen mit Concert konnte das Team seinen manuellen Einstufungs- und Analyseaufwand reduzieren und benötigte nur sechs PW, um die offenen Fragen zu bearbeiten.

Dank dieser Zeitersparnis konnte das Team sein allgemeines Verfügbarkeitsziel (General Availability, GA) übertreffen. Laut Vikram Murali, Vizepräsident für Softwareentwicklung bei IBM, „konnten wir durch die Verwendung von IBM Concert zur Verwaltung kritischer Schwachstellen die Scan-Zeit um 25 % verkürzen und die allgemeine Verfügbarkeit von Concert vier Tage früher als geplant erreichen.“

Natürlich endet die Geschichte nicht mit der ersten Veröffentlichung der Software. Die Entwicklung des Produkts wird ebenso fortgesetzt wie der CVE-Managementzyklus. Aber das Entwicklerteam hat einen positiven Kreislauf geschaffen, und es wird ihn am Laufen halten. „Wir kommen schneller zu den richtigen Lösungen und reduzieren letztendlich das Gesamtrisiko“, sagt Dashora. “Und dann investieren wir die eingesparte Zeit wieder und investieren mehr Zeit in die Entwicklung neuer Funktionen für IBM Concert.“

IBM-Logo
Über IBM Software Development Organization

IBM Software Development Organization ist ein globales Team, das das Softwarelösungsportfolio des Unternehmens vorantreibt, einschließlich interner und kundenorientierter Lösungen. Mit ihrer Expertise in den Bereichen künstliche Intelligenz, Cloud-Computing, Cybersicherheit und mehr konzentriert sich die Gruppe auf die Entwicklung innovativer Produkte, die Innovationen in allen Branchen fördern.

Lösungskomponente IBM Concert
Bessere Produktivität für Anwendungsbesitzer und Entwickler

IBM® Concert, unterstützt von IBM watsonx, kann Ihnen helfen, das App-Management und den Technologiebetrieb mit von generativer KI gestützten Erkenntnissen zu vereinfachen und zu optimieren.

Erfahren Sie mehr über IBM Concert Weitere Fallstudien anzeigen
Rechtshinweise

© Copyright IBM Corporation 2024. IBM, das IBM Logo, IBM Concert und IBM watsonx sind Marken oder eingetragene Marken der IBM Corp. in den USA und/oder anderen Ländern. Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.

Alle angeführten Beispiele illustrieren lediglich, wie einige Kunden IBM Produkte verwendet haben und welche Ergebnisse sie dabei erzielt haben. Tatsächliche Leistung, Kosten, Einsparungen oder andere Ergebnisse in anderen Betriebsumgebungen können abweichen.