Home
Case Studies
Organizzazione di sviluppo software IBM
Basato sulla tecnologia IBM watsonx™ IBM® Concert è una soluzione progettata per ottimizzare le operazioni e la gestione delle applicazioni. E il team di sviluppo responsabile di questa offerta era sotto pressione per consegnare il prodotto alla disponibilità generale (GA), rispettando al contempo i severi requisiti di IBM per la mitigazione dei rischi di sicurezza nel codice del prodotto.
Si tratta di una sfida conosciuta ai team di sviluppo di prodotti di tutto il mondo: parallelamente allo sviluppo, gli strumenti di valutazione della sicurezza scansionano il codice e generano elenchi di centinaia o migliaia di vulnerabilità ed esposizioni comuni (CVE). La maggior parte delle CVE non risulta critica, ma il lavoro di andare a setacciare gli elenchi e dare priorità alle correzioni può rallentare notevolmente lo sviluppo. Se i problemi critici non vengono rilevati fino alla fine del ciclo di sviluppo, ricompilare ed eseguire nuovi test può far perdere molto tempo. Pertanto, la prontezza del prodotto e, in ultima analisi, i ricavi sono legati a una corretta gestione della CVE.
Fortunatamente per il team di sviluppo di Concert, una soluzione innovativa era proprio a portata di mano. Uno dei principali casi d'uso supportati da Concert è la semplificazione della gestione della CVE. Per questo motivo gli sviluppatori del prodotto sono diventati alcuni dei suoi primi clienti soddisfatti.
Utilizzando Concert, il team di sviluppo ha creato un approccio più intelligente e semplificato alla gestione CVE. In precedenza, il team si affidava a un paio di strumenti di valutazione della sicurezza di terze parti che generavano elenchi univoci di CVE, inclusi i punteggi di priorità. Il team analizzava e correlava quindi manualmente i due elenchi e, successivamente, comunicava con l'ufficio del Chief Information Security Officer (CISO) di IBM per concordare le priorità.
Ora, i dati provenienti dagli strumenti di terze parti confluiscono in Concert, che produce un elenco CVE unificato con una prioritizzazione più intelligente. L'AI alla base del software analizza il modo in cui ogni CVE si relaziona con l'intero ambiente dell'applicazione, comprese le connessioni e i punti di ingresso e ne tiene conto nella sua classifica di priorità.
I CVE e i punteggi di priorità vengono visualizzati anche su una mappa grafica, il che aiuta gli sviluppatori a capire rapidamente in che modo ogni CVE si riferisce all'applicazione e dove è necessario intervenire prima. "Concert va oltre gli altri strumenti di scansione", afferma Mahesh Dashora, Program Director of QA and Security and Release Engineering presso IBM. "Stiamo ottenendo un migliore insight delle esposizioni, così da poter risolvere gli elementi importanti più rapidamente."
Il team ha beneficiato anche di queste funzioni aggiuntive di Concert:
Quando il team ha impiegato per la prima volta Concert per la gestione CVE, ha dovuto affrontare circa 200 problemi di CVE non risolti. Normalmente, la revisione e il triage di così tanti elementi e l'ottenimento dell'approvazione degli ordini prioritari e delle azioni di correzione avrebbero richiesto più di otto settimane-persona (PW) di lavoro. Assegnando priorità alle azioni con Concert, il team ha ridotto gli sforzi manuali di triage e analisi, richiedendo solo sei PW per elaborare i problemi aperti.
Grazie a questo risparmio in termini di tempo, il team ha superato l'obiettivo GA. Secondo Vikram Murali, Vice President of Software Development presso IBM, "L'utilizzo di IBM Concert per gestire le vulnerabilità critiche ci ha consentito di ridurre i tempi di scansione del 25% e di avere successo con GA Concert quattro giorni prima del previsto."
Naturalmente la storia non finisce con la prima release del software. Lo sviluppo del prodotto continuerà, così come il ciclo di gestione CVE. Ma il team di sviluppo ha creato un circolo virtuoso e continuerà a farlo. "Stiamo trovando le soluzioni giuste più rapidamente e, in ultima analisi, stiamo riducendo il rischio complessivo", afferma Dashora. "Stiamo anche reinvestendo il tempo risparmiato, dedicando più tempo allo sviluppo di nuove funzionalità in IBM Concert."
L'organizzazione di sviluppo software IBM è un team globale che guida il portafoglio di soluzioni software dell'azienda, comprese le soluzioni interne e rivolte ai clienti. Con esperienza nell'AI, nel cloud computing, nella cybersecurity e altro ancora, il gruppo si concentra sulla creazione di prodotti innovativi che promuovono l'innovazione in tutti i settori.
© Copyright IBM Corporation 2024. IBM, il logo IBM, IBM Concert e IBM watsonx sono marchi o marchi registrati di IBM Corp., negli Stati Uniti e/o in altri Paesi. Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Gli esempi relativi ai clienti sono presentati a scopo illustrativo di come tali clienti abbiano usato i prodotti IBM e dei risultati che possono aver conseguito. Prestazioni, costi, risparmio o altri risultati effettivi possono variare in altri ambienti operativi.