Per creare nuovo valore nel settore dei veicoli commerciali a livello globale, AB Volvo e Isuzu hanno avviato una partnership strategica. Nell’ambito di questa partnership, UD Trucks, azienda di veicoli commerciali presente in 60 Paesi che era di proprietà di Volvo è stata trasferita a Isuzu per rafforzare il mercato estero.
L’esigenza
La creazione di un codice software sicuro è un primo passo importante per garantire la sicurezza dei dati lungo tutta la catena del valore aziendale; per questo motivo UD Trucks ha dato priorità alla sicurezza delle applicazioni e a DevSecOps.
“Con il cambiamento della strategia aziendale e la separazione di UD Trucks dal Gruppo Volvo, dovevamo identificare e segregare i processi aziendali e le applicazioni rilevanti per UD Trucks – spiega Saritha Auti, Global Chief Information Security Officer di UD Trucks -, compresa la creazione di una funzione di cyber security per garantire la sicurezza dell’infrastruttura e delle applicazioni durante la migrazione al nuovo ambiente UD Trucks. Abbiamo colto l’occasione per introdurre un ambiente DevSecOps e garantire che le nostre applicazioni fossero prive di vulnerabilità prima di essere rilasciate nell’ambiente di produzione.”
Le funzionalità di Fortify per creare un approccio coerente
Considerando il panorama in continua evoluzione delle minacce informatiche, UD Trucks ha ricercato una soluzione che avesse alle spalle un’azienda impegnata ad aggiornare regolarmente la baseline di riferimento delle vulnerabilità.
L’azienda automobilistica voleva anche predisporre un processo unificato in grado di coprire tutte le varietà applicative, da quelle legacy (spesso basate su mainframe) critiche per il processo di produzione) a quelle più moderne basate su Java o Windows sul lato clienti e fornitori. Nella catena di montaggio della fabbrica vengono utilizzati oltre 2.000 script di automazione dei processi robotici (RPA) e il team doveva assicurarsi che la nuova soluzione li supportasse tutti.
“Quando abbiamo analizzato le soluzioni OpenText Fortify – spiega Auti – abbiamo constatato che soddisfacevano tutti i nostri requisiti e che erano nettamente superiori alla concorrenza, inoltre la soluzione sarebbe stata supportata da un team locale alla sede principale del nostro team di sicurezza . Abbiamo ritenuto che il team di OpenText avesse un’ottima conoscenza del prodotto e che sarebbe stato un buon partner per aiutarci a migliorare la nostra postura di sicurezza. Una proof-of-concept (POC) ha confermato la funzionalità e, a seguito di una valutazione completa, OpenText è stata scelta”.
OpenText ha dimostrato di possedere l’esperienza necessaria per fornire una piattaforma di AppSec olistica, inclusiva e scalabile che prevede la scansione statica e dinamica del codice e capace di supportare la portata e la complessità di un portafoglio di applicazioni diversificato, come quello di UD Trucks.
Gli ingegneri dei Servizi Professionali di OpenText hanno supportato il team a cominciare dalle applicazioni più complesse, come quelle per le quali non c’era alcuna comprensione della codifica (in sostanza, applicazioni ‘black box’). Il team ha analizzato il codice con Fortify ed è stato in grado di fornire informazioni e una valutazione approfondita dei rischi.
OpenText ha supportato UD Trucks nella creazione di un rapido intervento per introdurre l’integrazione tra l’ambiente di UD Trucks e la piattaforma che ospitava Fortify, che consentirà ai team di sviluppo delle applicazioni di sfruttare facilmente le scansioni effettuate con Fortify.
Nel frattempo, il team di sicurezza di UD Trucks si è concentrato sul gravoso compito di educare i proprietari delle applicazioni interne con una serie di workshop per spiegare l’importanza della sicurezza, della creazione di codice robusto e per insegnare loro come evitare le vulnerabilità del codice durante il processo di sviluppo del software.
Conformità ISO e riduzione dei costi di manutenzione
“Sfruttando Fortify – continua Auti – abbiamo ora un panorama applicativo stabile, con processi di gestione delle vulnerabilità efficaci, supportati da una strategia di governance completa. L’importanza di questo aspetto non deve essere sottovalutata, soprattutto in Giappone, dove le nostre operazioni commerciali dipendono dalla nostra conformità alla sicurezza ISO. Senza di essa non possiamo letteralmente vendere i nostri camion, quindi il costo della non conformità è molto alto e questo fatto ci ha aiutato a ottenere l’impegno del consiglio di amministrazione di cui avevamo bisogno per introdurre un programma AppSec completo”.
Un altro vantaggio chiaramente riconosciuto dal CISO di UD Trucks è stato la riduzione dei costi di manutenzione delle applicazioni. Prima dell’implementazione di Fortify, UD Trucks operava continuamente programmi di remediation delle applicazioni per risolvere le vulnerabilità delle applicazioni quando si presentavano, per minimizzarne il più possibile l’impatto. Da quando Fortify è in uso, non sono stati necessari programmi di correzione, poiché le vulnerabilità vengono affrontate come parte del ciclo di vita dello sviluppo del software, con il risultato di un software di qualità superiore.
“Sono davvero soddisfatta dei progressi e dell’impatto del nostro programma AppSec e, in particolare, del lavoro svolto con Fortify – conclude Auti – supportato dalla chiara esperienza di OpenText in questo settore. Ha permesso il nostro approccio ‘shift-left’ che apre la strada a un miglioramento continuo delle applicazioni e alla conseguente riduzione dei rischi. Sfruttando Fortify, ora disponiamo di un panorama applicativo stabile, con processi di gestione delle vulnerabilità efficaci, supportati da una strategia di governance completa”.