Contrast Security > 实例探究 > 提高安全性和效率，同时降低风险：CM.com 案例研究

提高安全性和效率，同时降低风险：CM.com 案例研究

技术

应用基础设施与中间件 - 中间件、SDK 和库
网络安全和隐私 - 应用安全

适用行业

设备与机械
国家安全与国防

适用功能

产品研发
质量保证

用例

网络安全
篡改检测

服务

网络安全服务
测试与认证

关于客户

CM.com 由 Jeroen van Glabbeek 和 Gilbert Gooijers 于 1999 年创立，当时名为 ClubMessage。该公司向市场推出了群组短信。早期的客户包括比荷卢经济联盟地区的迪斯科舞厅，这些迪斯科舞厅通过短信发送有关客座 DJ、时间表、比赛、折扣和更多周末新闻的信息来与客户互动。二十多年后，CM.com 已成为对话式商务云软件领域的全球领导者，帮助企业提供卓越的客户体验。他们的通信和支付平台使营销、销售和客户支持能够通过多个移动渠道自动与客户互动，并与无缝支付功能相结合，从而推动销售、赢得客户并提高客户满意度。

登录后查看完整内容

挑战

CM.com 是对话式商务云软件领域的全球领导者，其应用程序安全策略正面临困境。该公司的主要应用程序安全策略包括渗透测试和静态应用程序安全测试（SAST）。然而，这些工具消耗了安全团队和开发团队大量的时间。安全团队必须分析这些测试生成的报告，并为每个需要修复的漏洞创建一个票证。此过程通常会导致开发人员延迟数天才能收到有关该做什么的反馈。这些与安全相关的延迟在开发过程中造成了摩擦，并增加了与修复过程中发现的漏洞相关的复杂性和延迟。它们也引起了开发商的不满。此外，扫描和渗透报告显示，开发过程的输出质量还有很大的改进空间。

登录后查看完整内容

解决方案

为了改进应用程序安全架构，CM.com 决定推出安全软件开发生命周期 (SDLC) 计划。该公司将 Contrast Security 确定为一种可能的解决方案。 Contrast Security 通过其自动化应用程序安全平台提供了全面的 DevSecOps 方法。该平台能够使用仪器持续监控应用程序代码。这使得开发人员能够在检测到漏洞时立即收到反馈，包括有关如何修复该漏洞的可操作信息。 CM.com 购买了 Contrast Assess 的许可证，并将其集成到开发团队使用的各种开发工具中。为了克服开发人员最初的阻力，CM.com 在评估开发人员的关键绩效指标 (KPI) 中添加了应用程序安全指标。该公司还获得了 OSS 许可证，开始致力于保护其开源库。通过 Contrast SCA，CM.com 可以一目了然地看到应用程序使用的开源代码、这些活动库和类中存在哪些漏洞以及哪些库需要更新。

登录后查看完整内容

运营影响

The deployment of the Contrast Application Security Platform has resulted in significant business value for CM.com. The company has seen tangible value in areas such as mean time to remediation (MTTR), with serious vulnerabilities identified earlier in the SDLC. The company has also seen efficiency gains in the full range of application security processes. The security team now spends less time analyzing SAST and penetration testing reports, and it is easier to produce compliance reports. These efficiency improvements have translated into faster development cycles for CM.com. The company has also seen cost savings due to its Contrast deployment, with a recent downturn in the amounts paid to security researchers through CM.com’s bug bounty program. The use of Contrast SCA has also resulted in less time spent on triaging and diagnosing security alerts and remediating vulnerabilities. Overall, the secure SDLC initiative has been a huge success, with CM.com delivering highly secure applications while lowering costs and speeding up development.

登录后查看完整内容

数量效益

Mean time to remediation (MTTR) reduced significantly due to continuous scanning and remediation help
Developer time for remediating vulnerabilities decreased significantly through catching vulnerabilities earlier in the SDLC
Projected faster development cycles due to fewer security-related delays

登录后查看完整内容