Organización de desarrollo de software de IBM
Basada en la tecnología IBM watsonx, IBM Concert es una solución diseñada para optimizar la gestión y las operaciones de las aplicaciones. Y el equipo de desarrollo responsable de esta oferta estaba bajo presión para entregar el producto a disponibilidad general (GA) mientras cumplía con los estrictos requisitos de IBM para mitigar los riesgos de seguridad en el código del producto.
Es un reto familiar para los equipos de desarrollo de productos de todo el mundo: paralelamente al desarrollo, las herramientas de evaluación de la seguridad escanean el código y generan listas de cientos o miles de vulnerabilidades y exposiciones comunes (CVE). La mayoría de las CVE no son cruciales, pero el trabajo de examinar las listas y priorizar las correcciones puede ralentizar significativamente el desarrollo. Si los problemas cruciales no se descubren hasta el final del ciclo de desarrollo, se puede perder mucho tiempo en reconstrucciones y nuevas pruebas. Por lo tanto, la preparación del producto y, en última instancia, los ingresos están vinculados a una gestión adecuada de CVE.
Afortunadamente para el equipo de desarrollo de Concert, tenían una solución innovadora justo delante de ellos. Uno de los casos de uso principales que admite Concert es la racionalización de la gestión de CVE. Así que los propios desarrolladores del producto se convirtieron en algunos de sus primeros clientes satisfechos.
Al utilizar Concert, el equipo de desarrollo creó un enfoque más inteligente y racionalizado para gestionar las CVE. Anteriormente, el equipo se basaba en un par de herramientas de evaluación de la seguridad de terceros que generaban listas únicas de CVE, incluidas las puntuaciones de prioridad. A continuación, el equipo analizaba y correlacionaba manualmente las dos listas y, posteriormente, se comunicaba con la oficina del director de seguridad de la información (CISO) de IBM para acordar las prioridades.
Ahora, los datos de las herramientas de terceros se introducen en Concert, que produce una lista CVE unificada con una priorización más inteligente. La IA subyacente del software analiza cómo se relaciona cada CVE con todo el entorno de la aplicación, incluidas las conexiones y los puntos de entrada, y lo tiene en cuenta en su clasificación de prioridades.
Las CVE y las puntuaciones de prioridad también se muestran en un mapa gráfico, lo que ayuda a los desarrolladores a comprender rápidamente cómo se relaciona cada CVE con la aplicación y dónde es necesario trabajar primero. "Concert va más allá que las demás herramientas de escaneado", afirma Mahesh Dashora, director del programa de control de calidad y seguridad e ingeniería de lanzamientos de IBM. "Tenemos un mejor conocimiento de los riesgos, lo que nos permite resolver los problemas importantes con mayor rapidez".
El equipo también se benefició de estas características adicionales de Concert:
- Las superficies de Concert duplican las CVE, lo que ayuda al equipo a solucionar problemas en varios lugares con una única corrección.
- Concert proporciona un panel de control que muestra claramente las CVE, las puntuaciones de prioridad y el contexto de apoyo, lo que permite una alineación eficiente con la oficina del CISO.
- Concert puede integrarse con GitHub, lo que facilita la creación rápida de tickets de servicio con detalles de corrección, para ayudar a acelerar las correcciones.
- Concert proporciona un almacén de pruebas para documentar todas las decisiones relativas a las CVE, apoyando la preparación para auditorías.
Cuando el equipo utilizó por primera vez Concert para la gestión de CVE, se enfrentó a alrededor de 200 problemas de CVE abiertos. Normalmente, la revisión y clasificación de esta cantidad de elementos y la obtención de aprobaciones sobre el orden de prioridad y las acciones de corrección habrían requerido más de ocho semanas-persona (PW) de trabajo. Al priorizar acciones con Concert, el equipo redujo sus esfuerzos manuales de clasificación y análisis, necesitando solo seis PW para procesar los problemas abiertos.
Con ese ahorro de tiempo, el equipo superó su objetivo para GA. Según Vikram Murali, vicepresidente de desarrollo de software de IBM, “el uso de IBM Concert para gestionar vulnerabilidades cruciales nos permitió reducir el tiempo de escaneo en un 25 % y lograr GA Concert cuatro días antes de lo previsto".
Por supuesto, la historia no termina con la primera versión del software. El desarrollo del producto continuará, al igual que el ciclo de gestión de CVE. Pero el equipo de desarrollo ha creado un círculo virtuoso y lo mantendrá en marcha. "Estamos llegando a las soluciones adecuadas más rápido y, en última instancia, reduciendo el riesgo general", dice Dashora. "Y luego estamos reinvirtiendo el tiempo ahorrado, y dedicando más tiempo a crear nuevas capacidades en IBM Concert".
La organización de desarrollo de software de IBM es un equipo global que impulsa la cartera de soluciones de software de la empresa, incluidas las soluciones internas y orientadas al cliente. Con experiencia en inteligencia artificial, cloud computing, ciberseguridad y más, el grupo se centra en crear productos de vanguardia que fomenten la innovación en todos los sectores.
Legal
© Copyright IBM Corporation 2024. IBM, el logotipo de IBM, IBM Concert e IBM watsonx son marcas comerciales o marcas registradas de IBM Corp. en EE. UU. y/o en otros países. Este documento está actualizado a la fecha inicial de publicación y puede ser modificado por IBM en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los ejemplos de clientes se presentan como ilustraciones de cómo dichos clientes han utilizado los productos de IBM y los resultados que pueden haber obtenido. El desempeño, los costes, los ahorros reales u otros resultados en sus entornos operativos podrían variar.