À l’aide de Concert, l’équipe de développement a créé une approche plus intelligente et plus rationalisée de la gestion des CVE. Elle s’appuyait auparavant sur une paire d’outils tiers d’évaluation de la sécurité qui généraient chacun une liste de CVE, y compris les scores de priorité. L’équipe devait ensuite analyser et corréler manuellement les deux listes, puis contacter le bureau du responsable de la sécurité des systèmes d’information (RSSI) d’IBM pour établir les priorités.
Désormais, les données des outils tiers alimentent Concert, qui produit une liste de CVE unifiée et hiérarchisée de façon plus intelligente. L’IA sous-jacente du logiciel analyse la relation entre chaque CVE et l’ensemble de l’environnement de l’application, y compris les connexions et les points d’entrée, et en tient compte dans son classement par priorité.
Les CVE et les scores de priorité sont également affichés sur une carte graphique, aidant les développeurs à comprendre rapidement comment chaque CVE se rapporte à l’application et quel élément doit être corrigé en premier. « Concert va plus loin que les autres outils d’analyse », déclare Mahesh Dashora, directeur de programme chargé de l’assurance qualité, de la sécurité et du release engineering chez IBM. « Nous obtenons une meilleure visibilité sur les risques, ce qui nous permet de résoudre les problèmes importants plus rapidement. »
L’équipe a également tiré profit de ces fonctionnalités supplémentaires de Concert :
- Concert fait apparaître les CVE plusieurs fois, ce qui permet à l’équipe de corriger les problèmes à de nombreux endroits en une seule intervention.
- Concert propose un tableau de bord qui affiche clairement les CVE, les scores de priorité et le contexte associé, permettant ainsi un alignement efficace avec le bureau du RSSI.
- Concert peut être intégré à GitHub, ce qui permet de remplir rapidement les demandes de service avec les informations de résolution et d’accélérer les correctifs.
- Concert propose un magasin d’archivage des preuves pour documenter toutes les décisions concernant les CVE, afin de faciliter la préparation aux audits.