Home

Case Studies

Organizzazione di sviluppo software IBM

Migliore gestione CVE e sviluppo più rapido con l'AI
Organizzazione per lo sviluppo software IBM
Colleghi che guardano una mappa CVE in IBM Concert
La sfida a supporto della sicurezza del codice senza rallentare lo sviluppo

Basato sulla tecnologia IBM watsonx IBM® Concert è una soluzione progettata per ottimizzare le operazioni e la gestione delle applicazioni. E il team di sviluppo responsabile di questa offerta era sotto pressione per consegnare il prodotto alla disponibilità generale (GA), rispettando al contempo i severi requisiti di IBM per la mitigazione dei rischi di sicurezza nel codice del prodotto.

Si tratta di una sfida conosciuta ai team di sviluppo di prodotti di tutto il mondo: parallelamente allo sviluppo, gli strumenti di valutazione della sicurezza scansionano il codice e generano elenchi di centinaia o migliaia di vulnerabilità ed esposizioni comuni (CVE). La maggior parte delle CVE non risulta critica, ma il lavoro di andare a setacciare gli elenchi e dare priorità alle correzioni può rallentare notevolmente lo sviluppo. Se i problemi critici non vengono rilevati fino alla fine del ciclo di sviluppo, ricompilare ed eseguire nuovi test può far perdere molto tempo. Pertanto, la prontezza del prodotto e, in ultima analisi, i ricavi sono legati a una corretta gestione della CVE.

Fortunatamente per il team di sviluppo di Concert, una soluzione innovativa era proprio a portata di mano. Uno dei principali casi d'uso supportati da Concert è la semplificazione della gestione della CVE. Per questo motivo gli sviluppatori del prodotto sono diventati alcuni dei suoi primi clienti soddisfatti.

25% scansioni CVE più rapide e migliore definizione delle priorità 4 giorni salvataggio nel ciclo di rilascio
Concert va oltre gli altri strumenti di scansione. Stiamo acquisendo un insight più approfondito delle esposizioni, così da poter risolvere più rapidamente gli aspetti importanti. Mahesh Dashora Program Director, QA and Security and Release Engineering IBM
Migliore insight delle esposizioni critiche, correzione più rapida

Utilizzando Concert, il team di sviluppo ha creato un approccio più intelligente e semplificato alla gestione CVE. In precedenza, il team si affidava a un paio di strumenti di valutazione della sicurezza di terze parti che generavano elenchi univoci di CVE, inclusi i punteggi di priorità. Il team analizzava e correlava quindi manualmente i due elenchi e, successivamente, comunicava con l'ufficio del Chief Information Security Officer (CISO) di IBM per concordare le priorità.

Ora, i dati provenienti dagli strumenti di terze parti confluiscono in Concert, che produce un elenco CVE unificato con una prioritizzazione più intelligente. L'AI alla base del software analizza il modo in cui ogni CVE si relaziona con l'intero ambiente dell'applicazione, comprese le connessioni e i punti di ingresso e ne tiene conto nella sua classifica di priorità.

I CVE e i punteggi di priorità vengono visualizzati anche su una mappa grafica, il che aiuta gli sviluppatori a capire rapidamente in che modo ogni CVE si riferisce all'applicazione e dove è necessario intervenire prima. "Concert va oltre gli altri strumenti di scansione", afferma Mahesh Dashora, Program Director of QA and Security and Release Engineering presso IBM. "Stiamo ottenendo un migliore insight delle esposizioni, così da poter risolvere gli elementi importanti più rapidamente."

Il team ha beneficiato anche di queste funzioni aggiuntive di Concert:

  • Concert fa emergere le CVE duplicate, aiutando il team a risolvere i problemi in più punti con un'unica correzione.

  • Concert fornisce una dashboard che mostra chiaramente le CVE, i punteggi di priorità e il contesto di supporto, consentendo un allineamento efficiente con l'ufficio del CISO.

  • Concert può essere integrato con GitHub, facilitando così la rapida raccolta di ticket di servizio con dettagli sulla correzione, per contribuire ad accelerare le correzioni.

  • Concert fornisce una memorizzazione Evidence per documentare tutte le decisioni relative ai CVE, a supporto della preparazione alla verifica.
Un circolo virtuoso: migliorare la sicurezza del codice accelerando lo sviluppo

Quando il team ha impiegato per la prima volta Concert per la gestione CVE, ha dovuto affrontare circa 200 problemi di CVE non risolti. Normalmente, la revisione e il triage di così tanti elementi e l'ottenimento dell'approvazione degli ordini prioritari e delle azioni di correzione avrebbero richiesto più di otto settimane-persona (PW) di lavoro. Assegnando priorità alle azioni con Concert, il team ha ridotto gli sforzi manuali di triage e analisi, richiedendo solo sei PW per elaborare i problemi aperti.

Grazie a questo risparmio in termini di tempo, il team ha superato l'obiettivo GA. Secondo Vikram Murali, Vice President of Software Development presso IBM, "L'utilizzo di IBM Concert per gestire le vulnerabilità critiche ci ha consentito di ridurre i tempi di scansione del 25% e di avere successo con GA Concert quattro giorni prima del previsto."

Naturalmente la storia non finisce con la prima release del software. Lo sviluppo del prodotto continuerà, così come il ciclo di gestione CVE. Ma il team di sviluppo ha creato un circolo virtuoso e continuerà a farlo. "Stiamo trovando le soluzioni giuste più rapidamente e, in ultima analisi, stiamo riducendo il rischio complessivo", afferma Dashora. "Stiamo anche reinvestendo il tempo risparmiato, dedicando più tempo allo sviluppo di nuove funzionalità in IBM Concert."

Logo di IBM
Informazioni sull'organizzazione per lo sviluppo software IBM

L'organizzazione di sviluppo software IBM è un team globale che guida il portafoglio di soluzioni software dell'azienda, comprese le soluzioni interne e rivolte ai clienti. Con esperienza nell'AI, nel cloud computing, nella cybersecurity e altro ancora, il gruppo si concentra sulla creazione di prodotti innovativi che promuovono l'innovazione in tutti i settori.

Componente della soluzione IBM® Concert
Migliora la produttività del proprietario dell'applicazione e degli sviluppatori

IBM Concert, basato su IBM watsonx, può aiutarti a semplificare e ottimizzare la gestione delle app e le operazioni tecnologiche con insight basati sull'AI generativa.

Maggiori informazioni su IBM Concert Visualizza altri casi di studio
Legale

© Copyright IBM Corporation 2024. IBM, il logo IBM, IBM Concert e IBM watsonx sono marchi o marchi registrati di IBM Corp., negli Stati Uniti e/o in altri Paesi. Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.



Gli esempi relativi ai clienti sono presentati a scopo illustrativo di come tali clienti abbiano usato i prodotti IBM e dei risultati che possono aver conseguito. Prestazioni, costi, risparmio o altri risultati effettivi possono variare in altri ambienti operativi.