新思科技应用安全测试解决方案帮助企业在开发流程早期发现并修复缺陷和漏洞,从而最大限度降低风险、提高生产力。随着开源和第三方代码使用率日益增高,代码安全风险是每个企业都面临的挑战和亟待解决的问题。

 

越南 FPT Software 公司在新思科技 Coverity 静态应用安全测试和 Black Duck 软件组成分析帮助下,软件的质量和安全性都取得了明显的成效。该公司强烈推荐那些对代码质量有较高要求的公司都应使用新思科技的应用安全测试解决方案。

 

企业概览

FPT 集团是一家总部位于越南的技术和 IT 服务提供商,财政收入近 20 亿美元。FPT Software 是该集团旗下子公司。FPT 是数字传输领域的佼佼者,提供卓越的解决方案,涵盖智能工厂技术、数字平台、机器人流程自动化、人工智能、物联网、移动性、云、托管服务、测试等多方面。

 

挑战:提升软件项目的质量和安全

FPT Software 为客户提供覆盖整个生命周期的服务,包括软件设计、开发、迁移和现代化。为客户的系统提供软件组件通常意味着使用原本不是为现代互连环境设计的遗留代码和架构体系。软件组件必须经过严格的测试,以满足当今现代应用程序所需的质量和安全。

 

 FPT Software 首席交付官兼执行副总裁 Do Van Khac 说道:“赢得客户信任是 FPT 的首要任务,我们一直致力于提高代码的安全性。我们经常会遇到不兼容的旧代码和架构带来的风险,这导致了补救成本增加。我们通过使用不同的工具,以期在软件开发生命周期尽早提高代码质量和安全性。”

 

FPT 的交付指挥中心对几种静态分析解决方案进行了详尽评估,最终确定新思科技的 Coverity 静态应用安全测试(SAST)是最佳选择。通过帮助在软件开发流程早期识别和修复软件问题,Coverity 不仅可加速代码审查以提高代码质量和安全,还可帮助 FPT 减少之后解决这些问题的需求和成本。

 

随着在软件开发中开源组件和代码库使用率日益提升,FPT 的客户要求扩展其软件测试,加入软件组成分析(SCA)。FPT 在 2019 年部署了了新思科技的 Black Duck 软件组成分析,如今,该公司几乎所有软件项目测试都采用使用 Coverity 和 Black Duck 来进行。

 

解决方案:Coverity 静态应用安全测试和 Black Duck 软件组成分析

Coverity 静态应用安全测试可以识别关键的软件质量缺陷和安全漏洞,以确保代码的安全性和更高质量,并且符合 ISO-9001 和 SEI CMMI Level 5 等标准。Black Duck 软件组成分析为 FPT 提供了全面的解决方案,管理由于在应用和代码库中使用开源及第三方代码所带来的安全、质量和许可证合规风险。

 

Do Van Khac 表示:“新思科技解决方案在增强代码扫描和安全检查方面的成效令我们感到惊喜。Coverity 和 Black Duck 为我们提供了可显著提高软件质量和客户满意度的工具。得益于 Coverity,我们已经符合开放式 Web 应用安全项目(OWASP)发布的十大 Web 应用安全风险(OWASP Top 10)中的要求,证明了我们具备解决 Web 应用最严峻安全风险的能力。”

 

成效:帮助开发人员提高生产力

FPT 通过使用新思科技的 Coverity 静态应用安全测试和 Black Duck 软件组成分析,平均每年管理 200 个项目,并将这两个 AST 工具集成到其开源软件项目 Jenkins 架构中。 

 

Do Van Khac 表示:“ 新思科技为我们解决了许多问题。我们在 2015 年尝试了 Coverity,又在 2019 年使用了 Black Duck,对新思科技的应用安全测试解决方案十分满意。经过评估显示,新思科技帮助我们的开发人员提高了生产率,通过识别相关问题,使误报概率低于 10%。这些工具强大的报告能力让我们能够实时洞察新趋势,从而更快地解决问题并将风险降到最低。”

 

Do Van Khac 赞赏道:“我们向所有企业强烈推荐新思科技的 AST 工具,尤其是那些专注于嵌入式系统的企业,对他们来说代码质量至关重要。”