Nel panorama sempre più critico della sicurezza applicativa, OpenText ha scelto di rafforzare la propria suite Fortify integrando la piattaforma Secure Code Warrior, leader nella formazione per sviluppatori su tecniche di codifica sicura. L’obiettivo è chiaro: trasformare ogni vulnerabilità rilevata in un’occasione formativa contestuale, riducendo drasticamente l’introduzione di codice insicuro fin dalle prime fasi del ciclo DevOps.
Una necessità tutt’altro che teorica. Secondo il 2024 Global Ransomware Survey condotto da OpenText, il 62 % degli attacchi ransomware ha avuto origine nella supply chain software, spesso sfruttando vulnerabilità lasciate nei repository applicativi o nei moduli di terze parti non verificati.
La sinergia tra Fortify e Secure Code Warrior punta dunque a spostare “a sinistra” l’attenzione alla sicurezza, inserendo direttamente nella pipeline di sviluppo momenti formativi brevi, interattivi e integrati nel contesto specifico del codice in analisi. In pratica, ogni alert generato dal motore SAST di Fortify può attivare un modulo personalizzato di apprendimento, adattato al linguaggio di programmazione e alla tipologia di vulnerabilità rilevata.
A rendere efficace questa metodologia è il modello di gamification applicato da Secure Code Warrior. I percorsi formativi si basano su esercitazioni hands-on, laboratori di codice e simulazioni “capture-the-flag”, in cui gli sviluppatori devono identificare e correggere errori reali. Il sistema premia precisione, rapidità e approccio metodico, generando un punteggio individuale che alimenta lo “SCW Trust Score”: un indicatore utile non solo a valutare la maturità tecnica del singolo sviluppatore, ma anche a tracciare benchmark di team e a confrontare le performance con medie settoriali.
L’intelligenza artificiale gioca un ruolo importante in questo ecosistema. Fortify Aviator, motore AI della piattaforma, contribuisce a filtrare i falsi positivi e suggerisce fix contestuali riducendo l’effort richiesto in fase di revisione. Insieme alla formazione personalizzata, questo approccio permette di ridurre del 53 % l’introduzione di vulnerabilità durante lo sviluppo e raddoppiare la rapidità delle azioni correttive, come riportato dalle stesse aziende che hanno adottato la piattaforma.
La vera forza di questa soluzione non è però solo tecnica. È culturale. In un mercato dove la velocità di rilascio è spesso vista in conflitto con la sicurezza, Fortify e Secure Code Warrior dimostrano che è possibile integrare formazione, prevenzione e automazione in un unico flusso continuo. Gli sviluppatori acquisiscono consapevolezza e autonomia senza uscire dal proprio contesto operativo quotidiano, riducendo il debito tecnico e migliorando la qualità del software prodotto.
Il sistema è compatibile con ambienti DevOps moderni, come GitHub, Azure DevOps e Okta, e l’approccio modulare consente una scalabilità graduale, adatta sia a team distribuiti sia a grandi organizzazioni con pipeline CI/CD complesse.
Guardando al futuro, OpenText prevede di estendere l’accessibilità dei contenuti formativi anche tramite assistenti virtuali basati su intelligenza artificiale, integrandoli in ambienti di sviluppo supportati da modelli generativi come GitHub Copilot o Amazon CodeWhisperer. Un’ulteriore evoluzione verso una security by design sempre più nativa e pervasiva.