Beranda

Studi kasus

IBM Software Development Organization

Manajemen CVE yang lebih baik dan pengembangan yang lebih cepat dengan AI
Organisasi pengembangan perangkat lunak IBM
Kolega melihat peta CVE di IBM Concert
Tantangan mendukung keamanan kode tanpa memperlambat pengembangan

Berdasarkan teknologi IBM Watsonx, IBM Concert adalah solusi yang dirancang untuk mengoptimalkan manajemen dan operasi aplikasi. Dan tim pengembangan yang bertanggung jawab atas penawaran ini berada di bawah tekanan untuk menghadirkan produk ke ketersediaan umum (GA) sambil memenuhi persyaratan ketat IBM untuk memitigasi risiko keamanan dalam kode produk.   

Ini merupakan tantangan yang tidak asing lagi bagi tim pengembang produk di mana pun: bersamaan dengan pengembangan, alat penilaian keamanan memindai kode dan menghasilkan daftar ratusan atau ribuan Kerentanan dan Eksposur Umum (CVE). Sebagian besar CVE tidak terlalu penting, tetapi pekerjaan memilah daftar dan memprioritaskan remediasi dapat memperlambat pengembangan secara signifikan. Jika masalah penting tidak ditemukan sampai akhir siklus pengembangan, banyak waktu dapat tenggelam dalam pembuatan ulang dan pengujian ulang. Dengan demikian, kesiapan produk—dan pada akhirnya, pendapatan—terkait dengan manajemen CVE yang tepat. 

Untungnya bagi tim pengembang Concert, solusi inovatif ada tepat di depan mereka. Salah satu contoh penggunaan inti yang didukung Concert adalah merampingkan manajemen CVE. Jadi pengembang produk itu sendiri menjadi beberapa pelanggan pertama yang bahagia.  

25% pemindaian CVE lebih cepat dan prioritas yang lebih baik 4 hari disimpan dalam siklus rilis
Concert berjalan lebih jauh daripada alat pemindaian lainnya. Kami mendapatkan insight yang lebih baik tentang eksposur, sehingga kami dapat menyelesaikan item penting lebih cepat. Mahesh Dashora Direktur Program, QA dan Rekayasa Keamanan dan Rilis IBM
Insight yang lebih baik tentang eksposur penting, remediasi yang lebih cepat

Dengan menggunakan Concert, tim pengembang menciptakan pendekatan yang lebih cerdas dan lebih efisien untuk mengelola CVE. Sebelumnya, tim ini mengandalkan sepasang alat penilaian keamanan pihak ketiga yang menghasilkan daftar CVE yang unik, termasuk skor prioritas. Tim kemudian akan menganalisis dan menghubungkan dua daftar secara manual dan kemudian berkomunikasi dengan kantor Chief Information Security Officer (CISO) IBM untuk menyetujui prioritas.

Sekarang, data dari alat pihak ketiga dimasukkan ke dalam Concert, yang menghasilkan daftar CVE terpadu dengan prioritas yang lebih cerdas. AI yang mendasari perangkat lunak menganalisis bagaimana setiap CVE berhubungan dengan keseluruhan lingkungan aplikasi, termasuk koneksi dan titik masuk, dan memperhitungkannya dalam peringkat prioritasnya.

CVE dan skor prioritas juga ditampilkan pada peta grafis, sehingga membantu pengembang memahami dengan cepat bagaimana setiap CVE berhubungan dengan aplikasi dan mana pekerjaan yang harus dilakukan terlebih dahulu. "Concert melangkah lebih jauh daripada alat pemindaian lainnya," kata Mahesh Dashora, Direktur Program QA dan Keamanan dan Rekayasa Rilis di IBM. "Kami mendapatkan insight yang lebih baik tentang eksposur, sehingga kami dapat menyelesaikan item penting lebih cepat."   

Tim juga mendapat manfaat dari fitur Concert tambahan ini:

  • Concert menampilkan CVE duplikat, membantu tim memperbaiki masalah di beberapa tempat dengan satu remediasi.

  • Concert menyediakan dasbor yang secara jelas menampilkan CVE, skor prioritas, dan konteks pendukung, yang memungkinkan penyelarasan yang efisien dengan kantor CISO.

  • Concert dapat diintegrasikan dengan GitHub, memfasilitasi populasi tiket layanan yang cepat dengan detail remediasi, untuk membantu mempercepat perbaikan.

  • Concert menyediakan toko Bukti untuk mendokumentasikan semua keputusan mengenai CVE, mendukung kesiapan audit.
Siklus peningkatan: meningkatkan keamanan dalam kode sambil mempercepat pengembangan

Ketika tim pertama kali menggunakan Concert untuk manajemen CVE, ia menghadapi sekitar 200 masalah CVE terbuka. Biasanya, melakukan ulasan dan meninjau banyak item ini dan mendapatkan persetujuan pada urutan prioritas dan tindakan remediasi akan memakan waktu lebih dari delapan minggu kerja (PW) seseorang. Dengan memprioritaskan tindakan dengan Concert, tim mengurangi upaya triase dan analisis manual, hanya membutuhkan enam PW untuk memproses masalah terbuka.

Dengan penghematan waktu itu, tim mengalahkan targetnya untuk GA. Menurut Vikram Murali, Wakil Presiden Pengembangan Perangkat Lunak di IBM, "Menggunakan IBM Concert untuk mengelola kerentanan penting memungkinkan kami untuk memotong waktu pemindaian sebesar 25% dan berhasil GA Concert empat hari lebih cepat dari jadwal."

Tentu saja, ceritanya tidak berakhir dengan rilis pertama perangkat lunak. Pengembangan produk akan berlanjut, seperti halnya siklus manajemen CVE. Tetapi tim pengembang telah menciptakan siklus peningkatan, dan itu akan membuatnya terus berjalan. "Kami mendapatkan solusi yang tepat lebih cepat, dan pada akhirnya mengurangi risiko secara keseluruhan," kata Dashora. "Dan kemudian kami menginvestasikan kembali waktu yang dihemat, menghabiskan lebih banyak waktu membangun kemampuan baru ke dalam IBM Concert."

Logo IBM
Tentang organisasi pengembangan perangkat lunak IBM

Organisasi pengembangan perangkat lunak IBM adalah tim global yang mendorong portofolio solusi perangkat lunak perusahaan, termasuk solusi internal dan yang menghadap klien. Dengan keahlian dalam kecerdasan buatan, komputasi cloud, keamanan siber, dan banyak lagi, kelompok ini berfokus pada membangun produk mutakhir yang mendorong inovasi di semua industri.

Komponen solusi IBM Concert
Meningkatkan produktivitas pemilik dan pengembang aplikasi

IBM Concert, yang didukung oleh IBM watsonx, dapat membantu Anda menyederhanakan dan mengoptimalkan manajemen aplikasi dan operasi teknologi Anda dengan insight yang didorong oleh AI generatif.

Pelajari selengkapnya tentang IBM Concert Lihat lebih banyak studi kasus
Hukum

© Hak Cipta IBM Corporation 2024. IBM, logo IBM, IBM Concert, dan IBM watsonx adalah merek dagang atau merek dagang terdaftar dari IBM Corp., di AS dan/atau negara lain. Ini adalah dokumen terbaru pada tanggal awal publikasi dan dapat diubah oleh IBM kapan saja. Tidak semua penawaran tersedia di setiap negara tempat IBM beroperasi.

Contoh klien disajikan sebagai ilustrasi tentang cara klien tersebut menggunakan produk IBM dan hasil yang mungkin telah mereka capai. Kinerja aktual, biaya, penghematan atau hasil lainnya di lingkungan operasi lain mungkin berbeda.