Veracode e l’attenzione sul codice
La sicurezza delle applicazioni parte dalla fase di sviluppo. L’approccio tecnologico del fornitore americano e alcuni dati di scenario.
È l’Application Security Testing il dominio di intervento delle soluzioni di Veracode, vendor americano nato nel 2006 e con una presenza in Italia, offerte da sempre in modalità SaaS. ”È una modalità che ci ha permesso di costruire un’importante knowledge base, frutto dei dati raccolti lavorando su 3.000 clienti nel mondo con la nostra piattaforma basata su cloud. Clienti che in Italia appartengono a vari settori verticali: banche, servizi, utility, oil and gas, gaming, manufacturing…”, spiega Massimo Tripodi, Country Manager Italia. Dati che hanno contribuito al report State of Software Security 2024 che indica i trend e le problematiche presenti in ambito sviluppo software.
“La tendenza principale è questa: il 70,8% delle organizzazioni ha un debito di sicurezza, ossia vulnerabilità che, indipendentemente dal loro stato, rimangono non risolte per oltre 12 mesi. Debito che, a causa di falle persistenti di elevata gravità, nel 45,9% dei casi è di natura critica.” E ancora, se nel 90% dei casi il debito di sicurezza riguarda applicazioni sviluppate internamente quello critico è per il 65% relativo a codice terze parti presente in librerie open source. Ecco che lo studio mostra che, risolvendo più rapidamente le falle, si abbassa di quattro volte la possibilità che si manifesti appunto un debito di sicurezza critico.
Analizzare il codice
“Tenendo conto di questi dati vediamo come si può intervenire. Attraverso la Software Composition Analysis (SCA) è ad esempio possibile scansionare il codice – quindi anche componenti e librerie – individuare le vulnerabilità e correggere le falle. Se le chiamate sono su terze parti può essere suggerita la sostituzione di una versione aggiornata in cui la la vulnerabilità è stata risolta”, prosegue Tripodi aggiungendo che la piattaforma, con alla base una serie di servizi che ingegnerizzano l’intero processo di gestione della sicurezza applicativa, prevede diverse tipologie di scanning così come un processo di remediation che si serve dell’intelligenza artificiale generativa. “Questa opportunità sfrutta un algoritmo GPT addestrato sulla nostra knowledge base. Di fatto il sistema recepisce la vulnerabilità, comprende il contesto e produce automaticamente la correzione”, spiega Tripodi. Veracode offre inoltre uno strumento integrato che guida i percorsi di apprendimento degli sviluppatori perché scrivano codice privo di vulnerabilità.
“L’analisi della sicurezza delle applicazioni deve essere qualcosa di strutturale. Oggi viene approcciato in modo diverso. Alcune realtà, ad esempio quelle americane, hanno una struttura di processi molto più attenta e precisa laddove altrove è un elemento di frontiera, come in Italia. A parte eccezioni spinte anche dai regolamenti, come nel caso delle banche con DORA che introduce un principio di resilienza”, conclude Tripodi.
