Accueil

Case Studies

Organisation du développement logiciel IBM

 Une meilleure gestion des CVE et un développement plus rapide grâce à l’IA
Organisation du développement logiciel IBM
Collègues consultant une carte CVE dans IBM Concert
Défi : assurer la sécurité du code sans ralentir le développement

Basé sur la technologie IBM watsonx, IBM Concert est une solution conçue pour optimiser la gestion et l’exploitation des applications. L’équipe de développement chargée de cette offre était sous pression pour livrer le produit en disponibilité générale (DG) tout en répondant aux exigences strictes d’IBM visant à atténuer les risques de sécurité dans le code du produit.   

Ce défi est bien connu des équipes de développement produit du monde entier : parallèlement au développement, les outils d’évaluation de la sécurité analysent le code et génèrent des listes de centaines ou de milliers de vulnérabilités et d’expositions communes (CVE). La plupart des CVE ne sont pas critiques, mais le travail consistant à filtrer les listes et à prioriser les mesures correctives peut ralentir considérablement le développement. Si les problèmes critiques ne sont détectés que tardivement dans le cycle de développement, les reconstructions et les nouveaux tests peuvent prendre beaucoup de temps. C’est pourquoi une gestion appropriée des CVE est importante pour la préparation des produits et, en fin de compte, le chiffre d’affaires. 

Heureusement pour l’équipe de développement de Concert, une solution innovante se trouvait là, sous leurs yeux. En effet, la rationalisation de la gestion des CVE est l’un des principaux cas d’utilisation pris en charge par Concert. C’est ainsi que les développeurs du produit ont été parmi les premiers clients à en être satisfaits.  

25 % Analyses CVE accélérées et priorisation améliorée 4 jours Réduction du cycle de publication
Concert va plus loin que les autres outils d’analyse. Les informations sur les expositions sont plus précises, ce qui nous permet de corriger les éléments importants plus rapidement. Mahesh Dashora Directeur de programme, Assurance qualité, Sécurité et Release engineering IBM
Meilleure connaissance des expositions critiques, résolution plus rapide

À l’aide de Concert, l’équipe de développement a créé une approche plus intelligente et plus rationalisée de la gestion des CVE. Elle s’appuyait auparavant sur une paire d’outils tiers d’évaluation de la sécurité qui généraient chacun une liste de CVE, y compris les scores de priorité. L’équipe devait ensuite analyser et corréler manuellement les deux listes, puis contacter le bureau du responsable de la sécurité des systèmes d’information (RSSI) d’IBM pour établir les priorités.

Désormais, les données des outils tiers alimentent Concert, qui produit une liste de CVE unifiée et hiérarchisée de façon plus intelligente. L’IA sous-jacente du logiciel analyse la relation entre chaque CVE et l’ensemble de l’environnement de l’application, y compris les connexions et les points d’entrée, et en tient compte dans son classement par priorité.

Les CVE et les scores de priorité sont également affichés sur une carte graphique, aidant les développeurs à comprendre rapidement comment chaque CVE se rapporte à l’application et quel élément doit être corrigé en premier. « Concert va plus loin que les autres outils d’analyse », déclare Mahesh Dashora, directeur de programme chargé de l’assurance qualité, de la sécurité et du release engineering chez IBM. « Nous obtenons une meilleure visibilité sur les risques, ce qui nous permet de résoudre les problèmes importants plus rapidement. »   

L’équipe a également tiré profit de ces fonctionnalités supplémentaires de Concert :

  • Concert fait apparaître les CVE plusieurs fois, ce qui permet à l’équipe de corriger les problèmes à de nombreux endroits en une seule intervention.

  • Concert propose un tableau de bord qui affiche clairement les CVE, les scores de priorité et le contexte associé, permettant ainsi un alignement efficace avec le bureau du RSSI.

  • Concert peut être intégré à GitHub, ce qui permet de remplir rapidement les demandes de service avec les informations de résolution et d’accélérer les correctifs.

  • Concert propose un magasin d’archivage des preuves pour documenter toutes les décisions concernant les CVE, afin de faciliter la préparation aux audits.
Un cercle vertueux : améliorer la sécurité du code tout en accélérant le développement

Lorsque l’équipe a utilisé Concert pour la première fois pour la gestion des CVE, elle a dû faire face à environ 200 problèmes de CVE ouvertes. Normalement, l’examen et le tri d’un si grand nombre d’éléments et l’obtention des approbations concernant l’ordre de priorité et les mesures correctives auraient nécessité plus de huit semaines-personnes de travail (PW). Une fois les actions hiérarchisées avec Concert, l’équipe a réduit ses efforts manuels de tri et d’analyse, n’ayant besoin que de six PW pour traiter les problèmes en cours.

Grâce à ce gain de temps, l’équipe a battu son objectif pour la disponibilité générale. Selon Vikram Murali, vice-président chargé du développement logiciel chez IBM, « l’utilisation d’IBM Concert pour gérer les vulnérabilités critiques nous a permis de réduire le temps d’analyse de 25 % et de lancer Concert avec quatre jours d’avance sur notre programme. »

Bien sûr, l’histoire ne s’arrête pas à la première version du logiciel. Le développement du produit se poursuit, tout comme le cycle de gestion des CVE. Mais l’équipe de développement a créé un cercle vertueux, et elle va le maintenir. « Nous trouvons les bonnes solutions plus rapidement et, en fin de compte, nous réduisons les risques globaux », explique Mahesh Dashora. « Et le temps que nous économisons est réinvesti dans la création de nouvelles fonctionnalités pour IBM Concert. »
Logo IBM
À propos de l’organisation du développement logiciel IBM

L’organisation du développement logiciel IBM est une équipe mondiale qui gère le portefeuille de solutions logicielles de l’entreprise, y compris les solutions internes et celles destinées aux clients. Fort de son expertise dans les domaines, entre autres, de l’intelligence artificielle, du cloud computing et de la cybersécurité, le groupe se concentre sur la création de produits de pointe qui favorisent l’innovation dans tous les secteurs.

 Composant de la solution IBM Concert
Améliorer la productivité des propriétaires et développeurs d’applications

IBM Concert, alimenté par IBM watsonx, peut vous aider à simplifier et à optimiser la gestion des applications et les opérations technologiques grâce à des informations pilotées par l’IA générative.

 En savoir plus sur IBM Concert Voir plus d'études de cas
Mentions légales

© Copyright IBM Corporation 2024. IBM, le logo IBM, IBM Concert et IBM watsonx sont des marques d’IBM Corp. enregistrées aux États-Unis et/ou dans d’autres pays. Les informations contenues dans le présent document étaient à jour à la date de publication initiale et sont susceptibles d’être modifiées à tout moment par IBM. Certaines offres mentionnées dans le présent document ne sont pas disponibles dans tous les pays où la société IBM est présente.

Les exemples de clients sont présentés pour illustrer la façon dont ces clients ont utilisé les produits IBM et les résultats qu’ils ont pu obtenir. Les performances, coûts, économies ou autres résultats réels dans d’autres contextes d’exploitation peuvent varier.