新思科技帮助越南FPT Software公司应对代码安全风险

新思科技连续四年被评为Gartner魔力象限应用安全测试领导者，其综合全面的应用安全测试工具和解决方案为企业软件质量与安全提供了保证。Coverity静态应用安全测试帮助开发人员在编码过程中以极高的准确度发现质量缺陷及安全漏洞，而通过Black Duck软件组成分析则能够及时管理开源和第三方代码中的安全风险，从而极大地提升了企业代码的质量与安全性。

越南软件公司FPT Software在使用新思科技Coverity和Black Duck解决方案后，软件质量和客户满意度获得了显著的提升，代码安全风险大大降低，从而节省了解决问题和事后补救的成本。

企业概览

FPT集团是一家总部位于越南的技术和IT服务提供商，财政收入近20亿美元。FPT Software是该集团旗下子公司。FPT是数字传输领域的佼佼者，提供卓越的解决方案，涵盖智能工厂技术、数字平台、机器人流程自动化、人工智能、物联网、移动性、云、托管服务、测试等多方面。

挑战：提升软件项目的质量和安全

FPT Software为客户提供覆盖整个生命周期的服务，包括软件设计、开发、迁移和现代化。为客户的系统提供软件组件通常意味着使用原本不是为现代互连环境设计的遗留代码和架构体系。软件组件必须经过严格的测试，以满足当今现代应用程序所需的质量和安全。

FPT Software首席交付官兼执行副总裁Do Van Khac说道：“赢得客户信任是FPT的首要任务，我们一直致力于提高代码的安全性。我们经常会遇到不兼容的旧代码和架构带来的风险，这导致了补救成本增加。我们通过使用不同的工具，以期在软件开发生命周期尽早提高代码质量和安全性。”

FPT的交付指挥中心对几种静态分析解决方案进行了详尽评估，最终确定新思科技的Coverity 静态应用安全测试（SAST）是最佳选择。通过帮助在软件开发流程早期识别和修复软件问题，Coverity不仅可加速代码审查以提高代码质量和安全，还可帮助FPT减少之后解决这些问题的需求和成本。

随着在软件开发中开源组件和代码库使用率日益提升，FPT的客户要求扩展其软件测试，加入软件组成分析（SCA）。FPT在2019年部署了了新思科技的Black Duck 软件组成分析，如今，该公司几乎所有软件项目测试都采用使用Coverity和Black Duck来进行。

解决方案：Coverity 静态应用安全测试和Black Duck 软件组成分析

Coverity静态应用安全测试可以识别关键的软件质量缺陷和安全漏洞，以确保代码的安全性和更高质量，并且符合ISO-9001和SEI CMMI Level 5等标准。Black Duck 软件组成分析为FPT提供了全面的解决方案，管理由于在应用和代码库中使用开源及第三方代码所带来的安全、质量和许可证合规风险。

Do Van Khac 表示：“新思科技解决方案在增强代码扫描和安全检查方面的成效令我们感到惊喜。Coverity和Black Duck为我们提供了可显著提高软件质量和客户满意度的工具。得益于Coverity，我们已经符合开放式Web应用安全项目（OWASP）发布的十大Web应用安全风险（OWASP Top 10）中的要求，证明了我们具备解决Web应用最严峻安全风险的能力。”

成效：帮助开发人员提高生产力

FPT通过使用新思科技的Coverity 静态应用安全测试和Black Duck 软件组成分析，平均每年管理200个项目，并将这两个AST工具集成到其开源软件项目Jenkins架构中。

Do Van Khac 表示：“ 新思科技为我们解决了许多问题。我们在2015年尝试了Coverity，又在2019年使用了Black Duck，对新思科技的应用安全测试解决方案十分满意。经过评估显示，新思科技帮助我们的开发人员提高了生产率，通过识别相关问题，使误报概率低于10％。这些工具强大的报告能力让我们能够实时洞察新趋势，从而更快地解决问题并将风险降到最低。”

Do Van Khac 赞赏道：“我们向所有企业强烈推荐新思科技的AST工具，尤其是那些专注于嵌入式系统的企业，对他们来说代码质量至关重要。”