Mi IBM Iniciar sesión

Inicio

Casos de Estudio

Organización de desarrollo de software de IBM

 Mejor gestión de CVE y desarrollo más rápido con IA

Mejor gestión de CVE y desarrollo más rápido con IA
Organización de desarrollo de software de IBM
Colegas que visualizan un mapa de CVE en IBM Concert
El desafío de respaldar la seguridad del código sin desacelerar el desarrollo

El desafío de respaldar la seguridad del código sin desacelerar el desarrollo

Basada en la tecnología IBM® watsonx, IBM® Concert es una solución diseñada para optimizar la gestión y las operaciones de aplicaciones. Y el equipo de desarrollo responsable de esta oferta estaba bajo presión para entregar el producto a disponibilidad general (GA) mientras cumplía con los estrictos requisitos de IBM para mitigar los riesgos de seguridad en el código del producto.   

Es un desafío familiar para los equipos de desarrollo de productos en todas partes: en paralelo con el desarrollo, las herramientas de evaluación de seguridad escanean el código y generan listas de cientos o miles de vulnerabilidades y exposiciones comunes (CVE). La mayoría de las CVE no son críticas, pero el trabajo de examinar las listas y priorizar las correcciones puede desacelerar significativamente el desarrollo. Si los problemas críticos no se descubren hasta el final del ciclo de desarrollo, se puede perder mucho tiempo en renovaciones y nuevas pruebas. Por lo tanto, la preparación del producto y, en última instancia, los ingresos están vinculados a una gestión adecuada de CVE. 

Afortunadamente para el equipo de desarrollo de Concert, una solución innovadora estaba frente a ellos. Uno de los principales casos de uso que Concert admite es la optimización de la gestión de CVE. Así, los propios desarrolladores del producto se convirtieron en algunos de sus primeros clientes satisfechos.  

25 % análisis de CVE más rápidos y mejor priorización 4 días ahorrados en el ciclo de lanzamiento
Concert va más allá que las otras herramientas de escaneo. Estamos obteniendo una mejor insight de las exposiciones, por lo que podemos resolver los elementos importantes más rápido. Mahesh Dashora Director de programas, control de calidad, seguridad e ingeniería de versiones IBM
Mejor insight de los riesgos críticos y correcciones más rápidas

Mejor insight de los riesgos críticos y correcciones más rápidas

Gracias a Concert, el equipo de desarrollo creó un método más inteligente y ágil para gestionar las CVE. Anteriormente, el equipo se basaba en un par de herramientas de evaluación de la seguridad de terceros que generaban listas únicas de CVE, incluidos los puntajes de prioridad. A continuación, el equipo analizaba y correlacionaba manualmente las dos listas y, luego, se comunicaba con la oficina del director de seguridad de la información (CISO) de IBM para acordar las prioridades.

Ahora, los datos de las herramientas de terceros se introducen en Concert, que produce una lista de CVE unificada con una priorización más inteligente. La IA subyacente del software analiza cómo cada CVE se relaciona con todo el entorno de la aplicación, incluidas las conexiones y los puntos de entrada, y lo tiene en cuenta en su clasificación de prioridades.

Las CVE y los puntajes de prioridad también se muestran en un mapa gráfico, lo que ayuda a los desarrolladores a comprender rápidamente cómo se relaciona cada CVE con la aplicación y dónde se necesita trabajar primero. “Concert va más allá que las otras herramientas de escaneo”, dice Mahesh Dashora, director del programa de control de calidad y seguridad e ingeniería de versiones de IBM. “Estamos obteniendo un mejor insight de las exposiciones, por lo que podemos resolver los elementos importantes más rápido”.   

El equipo también se benefició de estas características adicionales de Concert:

  • Las superficies de Concert duplican las CVE, lo que ayuda al equipo a solucionar problemas en varios lugares con una sola corrección.

  • Concert proporciona un panel que muestra claramente las CVE, los puntajes de prioridad y el contexto de apoyo, lo que permite una alineación eficiente con la oficina del CISO.

  • Concert se puede integrar con GitHub, lo que facilita el llenado rápido de tickets de servicio con detalles de corrección, para ayudar a acelerar los arreglos.

  • Concert proporciona un almacén de evidencia para documentar todas las decisiones relacionadas con CVE, lo que respalda la preparación para la auditoría.
Un círculo virtuoso: mejorar la seguridad en el código mientras se acelera el desarrollo

Un círculo virtuoso: mejorar la seguridad en el código mientras se acelera el desarrollo

Cuando el equipo empleó Concert para la gestión de CVE por primera vez, se enfrentó a unos 200 problemas de CVE abiertos. Normalmente, revisar y clasificar tantos elementos y asegurar las aprobaciones en orden de prioridad y acciones de corrección habría tomado más de ocho semanas-persona (PW) de trabajo. Al priorizar las acciones con Concert, el equipo redujo sus esfuerzos manuales de clasificación y análisis, ya que solo necesitó seis PW para procesar los problemas abiertos.

Con ese ahorro de tiempo, el equipo superó su objetivo para GA. Según Vikram Murali, vicepresidente de desarrollo de software de IBM, “el uso de IBM Concert para gestionar vulnerabilidades críticas nos permitió reducir el tiempo de análisis en un 25 % y puso a Concert en GA con éxito cuatro días antes de lo previsto”.

Por supuesto, la historia no termina con el primer lanzamiento del software. El desarrollo del producto continuará, al igual que el ciclo de gestión de CVE. Pero el equipo de desarrollo creó un círculo virtuoso y lo mantendrá en marcha. “Estamos llegando a las soluciones adecuadas más rápido y, en última instancia, reduciendo el riesgo general”, dice Dashora. “Y luego estamos reinvirtiendo el tiempo ahorrado, dedicando más tiempo a crear nuevas capacidades en IBM Concert”.
Logotipo de IBM
Acerca de la organización de desarrollo de software de IBM

Acerca de la organización de desarrollo de software de IBM

La organización de desarrollo de software de IBM es un equipo global que impulsa la cartera de soluciones de software de la empresa, incluidas las soluciones internas y orientadas al cliente. Con experiencia en inteligencia artificial, computación en la nube, ciberseguridad y más, el grupo se enfoca en crear productos de vanguardia que fomenten la innovación en todas las industrias.

 Componente de la solución IBM Concert
Mejorar la productividad de los desarrolladores y propietarios de aplicaciones

IBM Concert, impulsado por IBM watsonx, puede ayudarle a simplificar y optimizar la gestión de aplicaciones y las operaciones tecnológicas con insights impulsados por IA generativa.

 Más información sobre IBM Concert Ver más casos de estudio
Legal

© Copyright IBM Corporation 2024. IBM, el logotipo de IBM, IBM Concert e IBM watsonx son marcas comerciales o marcas comerciales registradas de IBM Corp., en los EE. UU. y/o en otros países. Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.

Los ejemplos de los clientes se presentan como ilustraciones de cómo esos clientes han utilizado los productos de IBM y los resultados que pueden haber logrado. El rendimiento real, el costo, los ahorros u otros resultados en otros entornos operativos pueden variar.

Catálogo de productos Catálogo de servicios Conoce IBM Cloud Opciones de financiamiento Conozca la Nube Publica de IBM Opciones de financiamiento Desarrolladores Asociados de negocio Consultoría en IBM Contacta a IBM Soporte Encuentre un asociado de negocios Empleos Participe en la investigación de la experiencia del usuario Sobre IBM LinkedIn YouTube Mexico — Español Contacto Privacidad Términos de uso Accesibilidad