Con más de cinco millones de líneas de código y 2000 bibliotecas de código abierto que respaldan su plataforma insignia de software como servicio (SaaS) Hopex, la casa de software francesa Mega International ha estado trabajando con el proveedor de seguridad Synopsys para asegurar a sus desarrolladores y clientes que el código de su producto está libre de peligrosas vulnerabilidades de seguridad cibernética.
Mega es especialista en ayudar a las organizaciones a administrar su plan y aprovechar sus esfuerzos en torno al inventario de TI, la obsolescencia técnica y la estrategia de TI para administrar la gobernanza, el riesgo y el cumplimiento, junto con los procesos comerciales y la gobernanza de datos.
Debido a que muchos de los clientes de Mega trabajan en industrias fuertemente reguladas, como los servicios financieros, garantizar la seguridad del código contenido en la plataforma Hopex es de vital importancia, y muchos años de mejoras y refactorización significaron que esta garantía se estaba volviendo cada vez más difícil de garantizar.
Hace unos años, dice Philippe Bobo, jefe de investigación y desarrollo de Mega, el lanzamiento de las actividades SaaS de la empresa provocó un punto de inflexión para la empresa.
“Hasta ahora no habíamos tenido grandes problemas de seguridad, pero definitivamente había algo que lo impulsaba”, le dice a Computer Weekly. “Cuando lanzamos nuestra actividad de SaaS, necesitábamos ser muy claros y muy convincentes para nuestros clientes para mostrar que sus datos en nuestros centros de datos estaban seguros y protegidos, más que nunca”.
Esto llevó a Mega a los productos de prueba de seguridad de aplicaciones estáticas (SAST) y Black Duck de análisis de composición de software (SCA) de Synopsys.
“Pensamos que éramos buenos, pero no teníamos forma de cuantificar eso”, dice Bobo. “En ese momento, decidimos adquirir Coverity para medirnos, para tranquilizarnos y también para poder proporcionar pruebas cuantificadas a las personas que querían comprar nuestros servicios y asegurarse de que sus datos estén seguros”.
Otra prioridad era garantizar la gestión segura del creciente número de bibliotecas externas incorporadas en el código de Hopex, no solo aquellas a las que llama Hopex, sino también bibliotecas a las que esas bibliotecas pueden llamar a su vez. “La jerarquía dinámica de dependencias puede volverse rápidamente imposible de rastrear sin una lista de materiales de software (SBOM) completa y continuamente actualizada”, dice Bobo.
“Cuando lanzamos nuestra actividad SaaS, necesitábamos ser muy claros y muy convincentes para nuestros clientes para mostrar que sus datos en nuestros centros de datos estaban seguros y protegidos, más que nunca”
Philippe Bobo, Mega
Finalmente, Mega también necesitaba poder demostrar a sus auditores SOC 2 que Hopex estaba administrando datos de manera segura para proteger los intereses y la privacidad de sus clientes.
“Synopsys demostró un profundo conocimiento de nuestro negocio y, en particular, de los desafíos [and] la gran cantidad de activos de software, código heredado y problemas de compatibilidad con los que tiene que lidiar un líder de cuadrante como Mega”, dice Bobo. “Esta comprensión hizo que la implementación fuera muy sencilla”.
Bobo continúa: “Coverity tenía la cobertura más amplia en términos de lenguajes de codificación, así como un enfoque nítido de C/C++, con un mecanismo de excepción muy satisfactorio que nos permitía crear una imagen progresiva de nuestro código desde cero, sin que nos bloquearan. bajo con un montón de alertas. Esto resultó ser un factor clave, ya que la confiabilidad era nuestro objetivo principal aquí.
“Black Duck es la punta de lanza de nuestra iniciativa SBOM. Black Duck nos permitió iniciar rápidamente el proceso de exploración y ayudarnos a establecer prioridades de alerta para un código base que se estaba volviendo cada vez más complejo. El tiempo de valorización y la integridad fueron nuestros principales objetivos aquí. Synopsys proporcionó un consultor muy eficiente y reactivo para ayudarnos a lanzarnos y responder preguntas, y nos volvimos autónomos muy rápidamente”.
40.000 errores
Como se anticipó, cuando Coverity y Black Duck se pusieron a trabajar en Hopex, entre ellos detectaron innumerables debilidades olvidadas o pasadas por alto; en muchos casos, debilidades que, sin que nadie lo supiera, habían estado afectando la estabilidad del software e incluso causando interrupciones.
Según Bobo, Coverity ha detectado casi 40 000 instancias de defectos en los últimos cinco años, mientras que Black Duck ha descubierto más de 1700 problemas de componentes externos de código abierto y 70 problemas de licencia diferentes.
Afortunadamente, muy pocos de estos problemas resultaron ser una amenaza inminente para la seguridad de Mega o la de sus clientes, dice Bobo.
“Es un verdadero consuelo para los desarrolladores y para nuestros clientes poder decir que los errores se detectan el día que se crean y se solucionan al día siguiente”
Philippe Bobo, Mega
En el período transcurrido desde que Mega se comprometió por primera vez con Synopsys, no sorprende saber que la tasa de descubrimiento se ha ralentizado notablemente ya que los problemas en el código de Hopex se han eliminado en su mayoría. Como resultado, el ritmo del proyecto se ha ralentizado y el enfoque ha pasado de la remediación a lo que se podría denominar mejora continua: a medida que la plataforma se desarrolla más, sus desarrolladores pueden confiar en que el código que escriben es seguro.
“Es un verdadero consuelo para los desarrolladores y para nuestros clientes poder decir que los errores se detectan el día que se crean y se solucionan al día siguiente”, dice Bobo. “Cuando lanzamos cualquier tipo de lanzamiento de nuestro software, ya sea una versión grande, una actualización más pequeña, una revisión o lo que sea, todo se escanea y garantiza cero defectos desde el punto de vista de las mejores prácticas”.
Mega se ha dado cuenta de los beneficios adicionales en términos de cómo sus desarrolladores realizan la “limpieza” del código en general. En lugar de corregir defectos en el código heredado que ya no se usa, ahora aprovechan la oportunidad para reducir el código y, en lugar de incluir nuevos componentes de código abierto que necesitan aprobación legal para un nuevo acuerdo de licencia, intentan hacer un uso más eficiente. de dependencias existentes en componentes de terceros, explica Bobo.
“Recomendaríamos a Synopsys como proveedor de un conjunto integral de soluciones de seguridad de aplicaciones holísticas y complementarias, respaldado por un grupo de consultores expertos que comprenden globalmente las industrias con las que trabajan, así como los procesos únicos de una organización. Para una organización global B2B como Mega, es imprescindible”, concluye.
