Con l’avanzare dell’AI, l’evoluzione dei requisiti di compliance e l’emergere di nuove superfici d’attacco, la protezione del software richiede oggi un livello di controllo più profondo e continuo. In questo contesto il testing del codice diventa uno strumento fondamentale per intercettare le vulnerabilità laddove nascono, prima che possano propagarsi nell’ambiente operativo. È su questa esigenza che si innesta l’approccio di OpenText, pensato per offrire un’analisi rigorosa dell’intero strato applicativo e ridurre in modo sistematico il rischio. Nel campo della sicurezza applicativa, OpenText dispone da molti anni di un servizio cloud chiamato Fortify on Demand recentemente ridenominato OpenText Core Application Security. Grazie alla flessibilità del modello a crediti prepagati, questo approccio consente di iniziare immediatamente l’analisi delle applicazioni senza installare infrastrutture locali, quindi identificando le vulnerabilità e riducendone progressivamente il rischio applicativo.
Nel tempo, la piattaforma Fortify è andata a coprire l’IaC (Infrastructure as Code) e gli ambienti containerizzati. I motori di analisi comprendono ora regole specifiche per identificare vulnerabilità tipiche di questi contesti, come problemi di privilegi o configurazioni su ambienti container e sistemi di orchestrazione come Kubernetes. La scelta strategica si concentra quindi sull’analisi completa dello strato applicativo, dall’IaC al codice dell’applicazione vera e propria, includendo backend, frontend e tutte le dipendenze open source. L’analisi copre diversi linguaggi e dialetti specifici dei principali cloud provider, tra cui AWS, Azure e Google Cloud, processando file YAML, JSON e Terraform.
Fortify on Demand attualmente opera su AWS. All’inizio del 2026 è previsto la disponibilità anche su data center fisicamente situati all’interno dell’Unione Europea in modo da semplificare svariate forme di compliance. Per organizzazioni con requisiti specifici o preferenze per cloud provider alternativi come Azure, OVH o Aruba, l’alternativa consiste nell’implementazione on-premise della piattaforma.
Sempre nell’ottica di non richiedere nuovo hardware né nuove competenze, OpenText ha scelto di non sviluppare alcune funzionalità che esulano dal proprio core tecnologico, come l’analisi runtime dei container.
Compliance e framework normativi
A supporto delle esigenze di compliance le soluzioni di OpenText prevedono l’integrazione con i principali framework normativi europei e internazionali. Per il GDPR, la piattaforma offre reportistica dedicata che mappa le vulnerabilità e il percorso di remediation intrapreso, elemento cruciale in caso di audit o contestazioni.
Per normative più recenti come NIS2 e DORA l’impostazione cambia: pur senza prescrivere metodologie specifiche di classificazione delle vulnerabilità, entrambe richiedono un processo continuo, strutturato e dimostrabile di gestione del rischio, con NIS2 che include anche obblighi di testing periodico della sicurezza. In questo contesto una piattaforma come OpenText SAST (in precedenza Fortify Static Code Analyzer) permette di analizzare il software e classificare le vulnerabilità secondo tassonomie riconosciute a livello internazionale, tra cui OWASP Top 10 per le applicazioni Web e CWE (Common Weakness Enumeration), in piena coerenza con le indicazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) e offrendo le evidenze tecniche necessarie per soddisfare i requisiti di resilienza richiesti dai due regolamenti.
AI: nuove vulnerabilità, nuove soluzioni
In questa fase storica, l’introduzione dei sistemi di AI sta progressivamente modificando le realtà aziendali. Diversi clienti enterprise hanno già richiesto integrazioni più spinte, come l’applicazione automatica delle remediation in Copilot.
L’approccio adottato da OpenText privilegia il mantenimento del controllo umano. Per identificare vulnerabilità LLM, il gruppo di ricerca interno ha creato circa duecento regole su categorie dell’Owasp LLM Top 10 (lista dedicata ai principali rischi di sicurezza legati all’uso di LLM e applicazioni Gen-AI), focalizzandosi sugli aspetti tecnologici e non su processi organizzativi, che esulano dall’analisi del codice.
La piattaforma OpenText SAST è in grado di identificare la manipolazione dei dati presentati agli LLM e le possibili intercettazioni o injection attack nei prompt. Non vengono invece coperte categorie organizzative come l’hallucination, o l’excessive agency senza adeguato controllo umano. Ha, inoltre, un importante vantaggio concorrenziale: vanta infatti una copertura su oltre 1.700 categorie di vulnerabilità mappate su 33 linguaggi di programmazione, frutto di venticinque anni di sviluppo continuo, compresi Cobol e Visual Basic: per le organizzazioni con una storia, si tratta di un elemento centrale.
A completare il quadro è stato implementato un MCP Server che consente interazioni con la piattaforma OpenText direttamente in linguaggio naturale.
SAST Aviator riduce i tempi dell’80%
A ulteriore supporto delle attività di test statico del codice, OpenText mette a disposizione OpenText Core SAST Aviator, un servizio cloud-based che verifica, identifica e classifica ogni problema rilevato dalla scansione SAST come reale oppure falso positivo, fornendo una spiegazione dettagliata.
Questo modulo automatizza la fase di audit che tradizionalmente richiedeva l’intervento di security analyst esperti. Quando lo scanner completa l’analisi, i risultati vengono marcati come pending review, richiedendo revisione umana per distinguere tra vulnerabilità reali, falsi positivi e minacce differibili.
SAST Aviator interviene in questa fase processando automaticamente i risultati. Il sistema spacchetta i metadati e i frammenti di codice rilevanti, costruisce prompt complessi e li sottopone a un’istanza di un Large Language Model esterno ospitato nel cloud aziendale. Il modulo può classificare automaticamente i falsi positivi, riducendo significativamente il rumore. La riduzione stimata del tempo di audit è dell’80%: alcuni clienti da 100 vulnerabilità iniziali ne hanno dovuto analizzare solo una quarantina.
Per le vulnerabilità reali, classificate come sfruttabili, SAST Aviator genera anche indicazioni per le necessarie correzioni del codice.