Le attuali esigenze di flessibilità, scalabilità, integrazione e sicurezza hanno portato a una revisione dei modelli di sviluppo delle applicazioni moderne. Si pensi, per esempio, ai requisiti che devono avere le cloud native per operare in ambienti ibridi o allo sviluppo delle applicazioni composite, dove nuove soluzioni applicative vengono create integrando funzioni da vari strumenti esistenti (per esempio la creazione di un’interfaccia utente composta da microservizi).
Una delle caratteristiche comuni ai tutti i nuovi modelli di sviluppo è l’integrazione di componenti software open source che razionalizza costi e tempi favorendo la riusabilità del codice e riducendo i tempi di rilascio.
In molti casi i processi di analisi di sicurezza dello sviluppo applicativo tendono, tuttavia, a trascurare i componenti open source considerandoli affidabili a priori. Al contrario, ogni componente open source inserito all’interno di un’applicazione, in realtà, dovrebbe essere considerato come un software autonomo e trattato come tale in relazione alle vulnerabilità a cui può esporre l’applicazione finale.
CyberRes, la business unit di Micro Focus dedicata alle soluzioni software per la resilienza informatica, tramite la famiglia Fortify mette a disposizione gli strumenti per fornire una visibilità completa del rischio applicativo, combinando test di sicurezza delle applicazioni di tipo statico (Static Application Security Testing o SAST), dinamico (Dynamic Application Security Testing o DAST) e delle applicazioni mobili (Mobile Application Security Testing o MAST) oltre a prevedere meccanismi di controllo in tempo reale basati su intelligenza artificiale. L’ultimo tassello aggiunto al portfolio Fortify è Debricked, una tecnologia che rafforza ulteriormente la strategia di CyberRes nel garantire la resilienza del software e favorire modelli DevSecOps.
Debricked gestisce i rischi dell’open source
La tecnologia Debricked nasce nel 2018 da un progetto di ricerca che puntava a rendere più facile per le aziende l’utilizzo sicuro di software open source. Da questo progetto è nata un’azienda che è stata acquisita da CyberRes. Si tratta di una piattaforma che coniuga uno strumento di Software Composition Analysis dotato di tecniche di intelligenza artificiale e machine learning non supervisionato con un framework che semplifica il processo di gestione dello sviluppo. Debricked consente di gestire in modo proattivo i rischi legati all’intera catena di sviluppo che prevede componenti, librerie, tool e processi utilizzati per sviluppare, assemblare e rilasciare un software.
Questo toolkit mette a disposizione gli strumenti per affrontare in sicurezza il mondo open source in relazione a temi quali la gestione delle vulnerabilità, il rispetto della conformità normativa e il tema dell’integrità delle licenze. “Attualmente il 98% delle aziende sviluppa software utilizzando componenti open source al fine di accelerare la velocità di sviluppo per stare al passo con le richieste aziendali – osserva Pierpaolo Alì, Director Southern Europe, Russia, CIS, CEE & Israel di CyberRes -. Debricked è un tassello per affrontare la sicurezza open source e si aggiunge al portafoglio già solido CyberRes Fortify per la sicurezza applicativa”.
Gli attributi chiave delle tecnologie Debricked includono:
Open Source Intelligence. Con Open Source Select Debricked mira a rendere più veloce l’attività di ricerca e confronto dei pacchetti open source. Fornendo un’analisi approfondita del livello di salute di una community e fornendo un quadro di contestualizzazione, gli sviluppatori possono prendere decisioni molto più informate prima di selezionare quali componenti open source integrare nel loro codice.
Vulnerabilità della sicurezza. Identifica, corregge e previene continuamente e automaticamente le vulnerabilità nelle dipendenze open source. Esegue la scansione a ogni “commit” e invia una notifica quando vengono individuate nuove vulnerabilità.
Conformità delle licenze. Permette di effettuare controlli automatici sull’inserimento di componenti all’interno del codice tramite regole che impediscono l’inserimento di quelli non conformi. Favorisce la comprensione del rischio grazie all’impostazione di use case in linea con il codice che si sta scrivendo. Infine, produce una serie di report e analisi sulle licenze per tenere costantemente traccia, nel tempo, dei progressi della conformità.