.

HOME / DEFENSIVE SECURITY

CODE REVIEW E SAST SECURITY PER LA SICUREZZA DEL SOFTWARE

Il software è una risorsa sempre più importante, in modo particolare quello sviluppato internamente per fare fronte alle esigenze aziendali o per la distribuzione a partner e clienti. Renderlo il più possibile sicuro è fondamentale per garantire sicurezza operativa, tranquillità legale e compliance, oltre a mantenere un elevato livello di servizio.

Le applicazioni di qualsiasi tipologia, sia Web-based sia tradizionali, sono lo strumento con cui accediamo ai dati più disparati e spesso li elaboriamo in funzione delle diverse necessità aziendali. Questi dati possono essere sia critici per il business, sia sensibili o personali.

Rendere le applicazioni più sicure, significa proteggere i dati stessi e affrontare all’origine i difetti che poi diventano vulnerabilità di sicurezza.

Questo vale sia per il software di tipo tradizionale, sia soprattutto per le applicazioni basate sul Web che per loro stessa natura sono maggiormente esposte a rischi di attacchi anche su vasta scala. CryptoNet Labs ha selezionato la soluzione SAST (Static Analysis Security Testing) del proprio partner tecnologico Veracode, leader di mercato nei Code Review Tool.

Come funzionano Binary Code Review e SAST Security

Tramite la sua piattaforma cloud-based, la soluzione di Veracode offre diversi benefici finalizzati, come sempre, a fornire un’analisi che ricalchi il più possibile gli scenari di sicurezza che possono manifestarsi nel mondo reale.

Veracode possiede un forte elemento di differenziazione rispetto ad altre soluzioni di Code Review: opera sul codice binario dell’applicazione.

In particolare, le principali caratteristiche che rendono vantaggiosa una analisi SAST partendo dal codice binario dell’applicazione, sono:

  • La possibilità di revisionare un’applicazione completa, ovvero l’intera build, mentre strumenti basati solo sul codice sorgente possono ignorare parti non compilabili o comunque non tenere conto di eventuali debolezze che si manifestano solo nell’applicazione una volta entrata in produzione.
  • L’individuazione di problematiche legate alle opzioni di compilazione, cosa ovviamente non attuabile sul codice sorgente e alle eventuali non idealità che si manifestino nel deployment dell’applicazione.
  • L’esame di tutte le componenti di terze parti incluse nella build in particolare le librerie open source che rappresentano sempre più oggi un problema in termini di sicurezza.
  • La riduzione dei rischi di disclosure di proprietà intellettuale, perché Veracode lavora su una forma compilata dell’applicazione.

La scelta di una soluzione basata sul cloud inoltre offre alcuni vantaggi aggiuntivi, fra i quali ricordiamo quelli più significativi.
Prima di tutto, non è necessario effettuare un deployment on-premises, alleggerendo anche i carichi di lavoro sull’infrastruttura, qualora il livello di prestazioni sia strategico.
Inoltre la sua scalabilità consente di gestire binary code review di numerose applicazioni, anche quelle con rilasci frequenti.
Appoggiarsi a una knowledge base in cloud inoltre permette di avere a disposizione logiche di analisi ottimizzate per ridurre i falsi positivi e soprattutto sfruttare una piattaforma aggiornata alle evoluzioni degli attacchi: la conoscenza che Veracode acquisisce infatti si basa su una quantità di codice enorme, dal momento che qualsiasi vulnerabilità si palesi viene immediatamente implementata negli strumenti di analisi SAST.

Infine Veracode indirizza la sempre più massiccia presenza di software open source all’interno delle proprie applicazioni per individuare l’uso di componenti vulnerabili

tramite tecniche di Software Composition Analysis (SCA) e database di vulnerabilità pubblici e proprietari.

Come avviene una Code Review SAST

I nostri esperti di sicurezza del codice utilizzano un approccio che si basa su alcuni punti fondamentali, finalizzati da un lato a comprendere le logiche di sviluppo messe in campo e dall’altro di confrontarle con le tecniche che possono essere messe utilizzate da utenti malintenzionati o da cybercriminali.
I punti fondamentali della nostra filiera di Code review sono soprattutto l’uso di tecniche multiple di analisi, sia automatizzate sia manuali, finalizzate a coprire l’intera gamma di possibili problematiche. Di particolare rilevanza in questa fase del controllo è quella di fornire un elenco completo delle vulnerabilità individuabili senza dare per scontato che alcune debolezze nella sicurezza del software possano essere accettabili. Spetterà poi all’azienda, con l’aiuto dei nostri esperti, fare le valutazioni del caso anche in base al proprio piano di gestione del rischio informatico.
Ricordiamo infine che esiste una differenza sostanziale fra Code Review e Penetration Test, dal momento che il primo mira a identificare le potenziali vulnerabilità già nel ciclo di sviluppo, ancora prima che queste si manifestino nel mondo reale.

Chi ne può beneficiare

Code Review e Test SAST possono essere usati con profitto sia da aziende con team di sviluppo interni sia da quelle che desiderano validare, prima del passaggio in produzione, un software commissionato esternamente. I principali vantaggi sono un innalzamento del livello di sicurezza, una riduzione dei costi di fixing e soprattutto la possibilità di aderire in modo più efficiente ed efficace a standard e normative di settore (ISO 27001, PCI DSS, PSD2, GDPR, ecc.).