借助 Black Duck 应用安全测试解决方案提高代码质量和安全性
挑战
提高软件项目的质量和安全性
FPT Software 为客户提供完整的生命周期服务,包括软件设计、开发、迁移和现代化。为客户的系统提供软件组件,通常意味着使用原本并不是为现代互连环境而设计的旧代码和架构。这些必须经过严格测试,以实现当今现代应用程序所需的质量和安全性。
FPT Software 首席交付官兼执行副总裁 Do Van Khac 表示:“赢得客户的信任是我们的首要任务,我们始终专注于提高代码安全性。我们经常遇到不兼容的旧代码和架构所带来的风险,这导致修复成本增加。我们不断寻找各种工具,以期在开发生命周期中尽早提高代码质量和安全性。”
FPT 的交付指挥中心 (DCC) 对几种静态分析解决方案进行了详细评估;最终确定 Coverity Static Analysis 是最为适合他们的方案。通过帮助在开发流程的早期识别和修复软件问题,Coverity 不仅可以加速 FPT 代码审查,以提高代码质量和安全性,还可以帮助 FPT 减少以后解决这些问题的需求和成本。
随着开源组件和库在软件开发中的使用越来越多,FPT 的客户要求该公司扩展其软件测试,包括软件组件分析 (SCA)。FPT 于 2019 年实施了 Black Duck 的 Black Duck SCA,如今,FPT 对其几乎所有软件项目都使用 Coverity 和 Black Duck 进行测试。
我们不断寻找各种工具,以期在开发生命周期中尽早提高代码质量和安全性。"
Do Van Khac
|首席交付官兼执行副总裁
FPT Software 解决方案
Coverity SAST 和 Black Duck SCA
Coverity 静态应用安全测试 (SAST),能够识别关键软件质量缺陷和安全漏洞,以确保代码安全、更优质且符合 ISO-9001 和 SEI CMMI Level 5 等标准。Black Duck SCA 提供全面的解决方案,用于管理在应用程序和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。
“Black Duck 已经超越了我们在代码扫描和安全检查增强方面的期望。” Do Van Khac 说道,“Coverity 和 Black Duck 为我们提供了可显著提高软件质量和客户满意度的工具。借助 Coverity,我们已经实现了在 OWASP Top 10 中列出的安全问题方面的合规性,表示我们能够应对 Web 应用程序最关键的安全风险。
我们强烈建议所有企业使用 Black Duck AST 工具,特别是那些专注于代码质量至关重要的嵌入式系统的企业。"
Do Van Khac
|首席交付官兼执行副总裁
结果
帮助开发者提高效率
FPT 正在使用 Black Duck Coverity 和 Black Duck,对每年平均 200 个项目实施管理,这两种 AST 工具均被集成到其 Jenkins 构建中。
“Black Duck 为我们解决了许多问题,”Do Van Khac 说道,“于 2015 年采用 Coverity 和 2019 年采用 Black Duck 之后,我们非常满意 Black Duck 在应用安全测试。我们的评估表明,Black Duck 通过识别相关问题来帮助我们的开发人员提高效率,而误报率不足 10%。这些工具丰富的报告功能为我们提供了对新兴趋势的实时洞察,以便我们能够更快地解决问题并最大限度地降低风险。
我们强烈建议所有企业使用 Black Duck AST 工具,特别是那些专注于代码质量至关重要的嵌入式系统的企业。”
公司概述
FPT Software 隶属于 FPT Corporation。FPT Corporation 是一家总部位于越南的技术和 IT 服务提供商,其运营收入近 20 亿美元。作为数字化转型的先驱,FPT 在智能工厂技术、数字化平台、机器人流程自动化、人工智能、物联网、移动、云、托管服务、测试等领域提供世界一流的解决方案服务。