Le applicazioni di qualsiasi tipologia, sia Web-based sia tradizionali, sono lo strumento con cui accediamo ai dati più disparati e spesso li elaboriamo in funzione delle diverse necessità aziendali. Questi dati possono essere sia critici per il business, sia sensibili o personali.
Rendere le applicazioni più sicure, significa proteggere i dati stessi e affrontare all’origine i difetti che poi diventano vulnerabilità di sicurezza.
Questo vale sia per il software di tipo tradizionale, sia soprattutto per le applicazioni basate sul Web che per loro stessa natura sono maggiormente esposte a rischi di attacchi anche su vasta scala. CryptoNet Labs ha selezionato la soluzione SAST (Static Analysis Security Testing) del proprio partner tecnologico Veracode, leader di mercato nei Code Review Tool.
Tramite la sua piattaforma cloud-based, la soluzione di Veracode offre diversi benefici finalizzati, come sempre, a fornire un’analisi che ricalchi il più possibile gli scenari di sicurezza che possono manifestarsi nel mondo reale.
Veracode possiede un forte elemento di differenziazione rispetto ad altre soluzioni di Code Review: opera sul codice binario dell’applicazione.
In particolare, le principali caratteristiche che rendono vantaggiosa una analisi SAST partendo dal codice binario dell’applicazione, sono:
La scelta di una soluzione basata sul cloud inoltre offre alcuni vantaggi aggiuntivi, fra i quali ricordiamo quelli più significativi.
Prima di tutto, non è necessario effettuare un deployment on-premises, alleggerendo anche i carichi di lavoro sull’infrastruttura, qualora il livello di prestazioni sia strategico.
Inoltre la sua scalabilità consente di gestire binary code review di numerose applicazioni, anche quelle con rilasci frequenti.
Appoggiarsi a una knowledge base in cloud inoltre permette di avere a disposizione logiche di analisi ottimizzate per ridurre i falsi positivi e soprattutto sfruttare una piattaforma aggiornata alle evoluzioni degli attacchi: la conoscenza che Veracode acquisisce infatti si basa su una quantità di codice enorme, dal momento che qualsiasi vulnerabilità si palesi viene immediatamente implementata negli strumenti di analisi SAST.
Infine Veracode indirizza la sempre più massiccia presenza di software open source all’interno delle proprie applicazioni per individuare l’uso di componenti vulnerabili
tramite tecniche di Software Composition Analysis (SCA) e database di vulnerabilità pubblici e proprietari.
I nostri esperti di sicurezza del codice utilizzano un approccio che si basa su alcuni punti fondamentali, finalizzati da un lato a comprendere le logiche di sviluppo messe in campo e dall’altro di confrontarle con le tecniche che possono essere messe utilizzate da utenti malintenzionati o da cybercriminali.
I punti fondamentali della nostra filiera di Code review sono soprattutto l’uso di tecniche multiple di analisi, sia automatizzate sia manuali, finalizzate a coprire l’intera gamma di possibili problematiche. Di particolare rilevanza in questa fase del controllo è quella di fornire un elenco completo delle vulnerabilità individuabili senza dare per scontato che alcune debolezze nella sicurezza del software possano essere accettabili. Spetterà poi all’azienda, con l’aiuto dei nostri esperti, fare le valutazioni del caso anche in base al proprio piano di gestione del rischio informatico.
Ricordiamo infine che esiste una differenza sostanziale fra Code Review e Penetration Test, dal momento che il primo mira a identificare le potenziali vulnerabilità già nel ciclo di sviluppo, ancora prima che queste si manifestino nel mondo reale.
Code Review e Test SAST possono essere usati con profitto sia da aziende con team di sviluppo interni sia da quelle che desiderano validare, prima del passaggio in produzione, un software commissionato esternamente. I principali vantaggi sono un innalzamento del livello di sicurezza, una riduzione dei costi di fixing e soprattutto la possibilità di aderire in modo più efficiente ed efficace a standard e normative di settore (ISO 27001, PCI DSS, PSD2, GDPR, ecc.).
This website uses cookies.