AI를 통한 CVE 관리 개선 및 개발 속도 향상

IBM 소프트웨어 개발 조직
IBM Concert에서 CVE 맵을 보고 있는 동료들
개발 속도 저하 없이 코드 보안을 지원해야 하는 과제

IBM watsonx 기술을 기반으로 하는 IBM Concert는 애플리케이션 관리 및 운영을 최적화하기 위해 설계된 솔루션입니다. 그리고 이 제품을 담당하는 개발팀은 제품 코드의 보안 위험을 완화하기 위한 IBM의 엄격한 요구 사항을 충족하면서 제품을 일반 가용성(GA)으로 제공해야 한다는 압박을 받고 있었습니다.   

개발과 동시에 보안 평가 툴이 코드를 스캔하여 수백, 수천 개의 공통 취약점 및 노출(CVE) 목록을 생성하는 것은 모든 제품 개발 팀에게 익숙한 과제입니다. 대부분의 CVE는 중요하지 않지만 목록을 선별하고 해결 우선순위를 정하는 작업으로 인해 개발 속도가 크게 느려질 수 있습니다. 개발 주기 후반까지 중요한 문제를 발견하지 못하면 재구축과 재테스트에 많은 시간이 소요될 수 있습니다. 따라서 제품 준비 상태, 그리고 궁극적으로 수익은 적절한 CVE 관리와 관련이 있습니다. 

다행히도 Concert 개발팀에게는 혁신적인 솔루션이 바로 눈앞에 있었습니다. Concert가 지원하는 핵심 사용 사례 중 하나는 CVE 관리를 간소화하는 것입니다. 그래서 이 제품의 자체 개발자들은 첫 번째 행복한 고객이 되었습니다.  

25% 더 빠른 CVE 스캔 및 더 나은 우선순위 지정 4일 릴리스 주기 단축
Concert는 다른 스캔 툴보다 더 많은 기능을 제공합니다. 노출에 대한 인사이트가 향상되어 중요한 항목을 더 빨리 해결할 수 있게 되었습니다.
Mahesh Dashora 프로그램 디렉터, QA 및 보안 및 릴리스 엔지니어링 IBM
중요한 노출에 대한 더 나은 인사이트, 더 빠른 문제 해결

개발팀은 Concert를 사용하여 보다 스마트하고 간소화된 방식으로 CVE를 관리할 수 있게 되었습니다. 이전에 팀은 우선순위 점수를 포함한 고유한 CVE 목록을 생성하는 한 쌍의 타사 보안 평가 툴에 의존했습니다. 그런 다음 팀은 두 목록을 수동으로 분석하고 상관 관계를 파악한 다음 IBM 최고 정보 보안 책임자(CISO) 사무실과 통신하여 우선순위에 합의했습니다.

이제 타사 툴의 데이터가 Concert에 입력되어 보다 지능적인 우선순위가 지정된 통합 CVE 목록을 생성합니다. 소프트웨어의 기본 AI는 각 CVE가 연결 및 진입점을 포함하여 애플리케이션의 전체 환경과 어떤 관련이 있는지 분석하고 이를 우선순위에 반영합니다.

CVE와 우선순위 점수도 그래픽 맵에 표시되므로 개발자는 각 CVE가 애플리케이션과 어떤 관련이 있는지, 어디에 작업이 먼저 필요한지 빠르게 파악할 수 있습니다. IBM의 QA 및 보안 및 릴리스 엔지니어링 프로그램 디렉터인 Mahesh Dashora는 "Concert는 다른 스캔 툴보다 더 많은 기능을 제공합니다. 노출에 대한 더 나은 인사이트를 얻을 수 있어 중요한 항목을 더 빨리 해결할 수 있습니다."   

또한 팀은 다음과 같은 Concert 기능의 추가 이점을 누릴 수 있었습니다.

  • Concert 표면은 CVE를 복제하여 팀이 한 번의 수정으로 여러 위치에서 문제를 해결하는 데 도움이 됩니다.

  • Concert는 CVE, 우선순위 점수 및 지원 컨텍스트를 명확하게 표시하는 대시보드를 제공하여 CISO 사무실과 효율적으로 협력할 수 있도록 지원합니다.

  • Concert는 GitHub와 통합되어 수정 세부 정보가 포함된 서비스 티켓을 빠르게 생성하여 문제 해결을 가속화할 수 있습니다.

  • Concert는 CVE와 관련된 모든 결정을 문서화하기 위한 증거 저장소를 제공하여 감사 준비를 지원합니다.
선순환: 개발을 가속화하면서 코드의 보안 개선

팀이 CVE 관리를 위해 Concert를 처음 도입했을 때 약 200개의 CVE 문제에 직면했습니다. 일반적으로 이렇게 많은 항목을 검토 및 분류하고 우선순위 및 수정 작업에 대한 승인을 확보하려면 8주 이상의 작업 시간(PW)이 필요했을 것입니다. Concert로 작업의 우선순위를 정함으로써 팀은 수동 분류 및 분석 작업을 줄여 6주 작업 시간으로 미해결 문제를 처리할 수 있었습니다.

이러한 시간 절약을 통해 팀은 GA에 대한 목표를 초과 달성했습니다. IBM의 소프트웨어 개발 부사장인 Vikram Murali는 다음과 같이 말합니다. "IBM Concert를 사용하여 심각한 취약성을 관리함으로써 스캔 시간을 25% 단축할 수 있었습니다. 그리고 예정보다 4일 앞서 GA IBM Concert를 성공적으로 마쳤습니다.”

물론 이 이야기는 소프트웨어의 첫 번째 릴리스에서 끝나지 않습니다. 제품에 대한 개발은 계속될 것이며 CVE 관리 주기 역시 계속될 것입니다. 하지만 개발팀은 선순환 구조를 만들었고, 앞으로도 계속 그럴 것입니다. "우리는 올바른 솔루션을 더 빨리 확보하고 궁극적으로 전반적인 위험을 줄이고 있습니다"라고 Dashora는 말합니다. "그런 다음 절약된 시간을 재투자하여 IBM Concert에 새로운 기능을 구축하는 데 더 많은 시간을 할애하고 있습니다."
IBM 로고
IBM 소프트웨어 개발 조직 소개

IBM 소프트웨어 개발 조직은 내부 솔루션과 고객 대상 솔루션을 포함하여 회사의 소프트웨어 솔루션 포트폴리오를 운영하는 글로벌 팀입니다. 인공 지능, 클라우드 컴퓨팅, 사이버 보안 등에 대한 전문 지식을 갖춘 이 그룹은 모든 산업에서 혁신을 촉진하는 최첨단 제품을 구축하는 데 중점을 둡니다.

 솔루션 컴포넌트 IBM Concert
애플리케이션 소유자 및 개발자 생산성 향상

IBM watsonx 기반의 IBM Concert를 사용하면 생성형 AI 기반 인사이트를 통해 앱 관리 및 기술 운영을 간소화하고 최적화할 수 있습니다.

 IBM Concert에 대해 자세히 알아보기 더 많은 사례 연구 보기
법률

© Copyright IBM Corporation 2024. IBM, IBM 로고, IBM Concert, IBM watsonx는 미국 및/또는 기타 국가에서 사용되는 IBM Corp.의 상표 또는 등록 상표입니다. 이 문서는 최초 발행일을 기준으로 최신 상태로 업데이트된 문서로, 내용은 언제든지 IBM에 의해 변경될 수 있습니다. IBM이 현재 영업 중인 모든 국가에서 모든 제품이 제공되는 것은 아닙니다.

고객 사례는 해당 고객이 IBM 제품을 사용한 방법과 달성한 결과에 대한 예시로서 제공됩니다. 다른 운영 환경에서는 실제 성능, 비용, 절감 또는 그 외 결과가 다르게 나타날 수 있습니다.