“Creiamo soluzioni per rendere sicuro il software che le organizzazioni sviluppano”. In questo modo descrive l’attività di Veracode il suo Country Manager per l’Italia Massimo Tripodi. “Dalla grande banca fino alla software house, chiunque sviluppa software per fare il proprio business può utilizzare le nostre soluzioni”.
Application testing as a service
Nata nel 2006, Veracode ha da sempre come mercato di riferimento l’application testing e sin dall’inizio ha puntato su un modello di delivery di servizi basato sul software as a service. “Questo ci ha consentito alcuni vantaggi – sottolinea Tripodi –. In primo luogo, abbiamo costruito una knowledge base sulle casistiche che i nostri clienti incontrano”. In questo momento sono circa 3.000 del mondo, di cui una trentina in Italia: “Siamo però presenti solo da agosto del 2022 e acquisiamo almeno un cliente nuovo ogni mese”, precisa Tripodi. La distribuzione è abbastanza trasversale rispetto ai vertical.
Anzitutto la consapevolezza
Il secondo vantaggio che cita Tripodi è il fatto di “essere molto efficaci”. Nel tempo, Veracode ha costruito una piattaforma basata su una serie di servizi che digitalizzano l’intero processo di gestione della sicurezza applicativa. Il punto di partenza è la consapevolezza: per individuare le eventuali falle presenti nei sistemi informativi o nel software si deve effettuare una scansione. “Noi abbiamo diverse tipologie di scanning – afferma Tripodi –. Si va dall’analisi statica all’analisi dinamica, dall’analisi delle terze parti, principalmente open source, all’analisi dei container, quindi di docker e degli script che servono a far funzionare i Kubernetes. Tutti questi strumenti sono completamenteintegrati”.
Remediation digitalizzata
La seconda fase del processo è quella di risposta. “Una volta preso atto che si ha una situazione delicata sul versante del software, si dovrebbe porre rimedio o quantomeno prioritizzare i problemi e sistemare quelli più rischiosi. Veracode è l’unico vendor che ha digitalizzato il processo di remediation”. È un progetto iniziato due anni e mezzo fa, con un pilota che ha coinvolto alcuni clienti selezionati, e ha visto poi la general availability a luglio del 2023. “Si basa su un algoritmo GPT in versione 2.5 open source che abbiamo addestrato sulla nostra knowledge base con i nostri esperti di sicurezza – evidenzia Tripodi –. È un sistema in grado di recepire la vulnerabilità, capisce il contesto in cui rientra il cliente e, quindi, produce automaticamente la fix opportuna”.
Il fattore umano
La tecnologia è fondamentale per garantire sia la protezione sia la remediation, ma non va dimenticato il fattore umano. “Se si vuole un processo di sviluppo software sicuro e resiliente si devono formare le persone. Il nostro sistema è completamente integrato con la piattaforma di sviluppo e sono i dati di tale piattaforma che guidano i percorsi di apprendimento degli utenti”.
Un report annuale sullo stato della sicurezza
L’approccio di tipo software as a service consente a Veracode di disporre di mole di dati tale per poter analizzare lo stato della software security. “Ogni anno a gennaio redigiamo un report che traccia una panoramica rispetto alla nostra base di clienti, evidenzia i trend delle principali problematiche, quali aree sono migliorate rispetto all’anno precedente e cosa non è variato, quali sono le aree di peggioramento e così via. Ogni anno, in autunno, creiamo una versione del report mirata ad alcuni vertical, come finance, manufacturing e pubblica amministrazione”.
Il 70% delle aziende ha un debito di sicurezza
Tra i principali trend che Veracode ha evidenziato per il 2024, spicca il fatto che il 70% delle organizzazioni ha un debito di sicurezza, ovvero almeno una vulnerabilità. E l’accumularsi di vulnerabilità, qualunque sia il loro stato rimane, non risolto per più di 12 mesi.
“Questo debito è endemico nell’organizzazione delle aziende – afferma Tripodi –, ma la cosa più grave è che il 46% dei nostri clienti ha un debito di sicurezza critico, cioè una vulnerabilità ad alto rischio”.
Due sono gli elementi che, secondo Veracode, hanno un diretto impatto su questo risultato. Anzitutto il progresso tecnologico. Nel tempo, infatti, creare un’applicazione è diventato sempre più semplice: ci sono framework che facilitano l’attività dello sviluppatore, come le tecnologie low code – no code, che consentono di creare un’applicazione in maniera estremamente veloce, oppure gli strumenti di generative AI che permettono di produrre codice a un velocità mai sperimentata prima. Siccome il business si digitalizza, sempre di più si devono costruire applicazioni e si va a una velocità esponenziale. Tuttavia, le risorseimpiegate, intese come sviluppatori, per rimediare alle vulnerabilità sono sempre le stesse. Quindi, devono dedicare parte del loro tempo non a scrivere nuove funzionalità ma a sistemare il codice che presenta vulnerabilità.
I rischi del codice di terze parti
Riguardo il debito di sicurezza, nel 90% dei casi è costituito da codice sviluppato dall’organizzazione, ma se si considera il debito di sicurezza critico, per il 65% è costituito da codice prodotto da terze parti. Questo è un elemento importante perché, nonostante si adottino best practice e processi di qualità, una volta che ci si approvvigiona di software dall’esterno si porta all’interno dell’azienda un veicolo di attacco.
“Vericode può consentire la software composition analysis – conclude Tripodi – ovvero offre strumenti in grado di scannerizzare il codice di terze parti per individuare eventuali vulnerabilità e proporre le relative fix”.
