Fortify: sicurezza applicativa più forte, confermata da Gartner

Micro Focus amplia le funzionalità della suite Fortify indirizzata alla sicurezza delle applicazioni, che è stata inserita ancora una volta, per il settimo anno consecutivo, tra i leader nel Gartner Magic Quadrant for Application Security Testing.

A questo risultatosi si aggiunge il primato nel rapporto 2020 Gartner Critical Capabilities for Application Security Testing per i casi d’uso Enterprise e Mobile and Client.

La nota società di analisi americana evidenzia come Fortify si contraddistingua tra le altre soluzioni del mercato per l’accuratezza e profondità dei suoi risultati, la flessibilità e l’efficacia nelle attività di sostituzione di codici legacy, nelle modalità moderne di sviluppo (per esempio microservizi) unitamente a funzionalità di reporting e integrazione di classe enterprise.

Pierpaolo Alì, Director Southern Europe Security, Risk & Governance di Micro Focus

È essenziale che le aziende pongano attenzione alle applicazioni – osserva Pierpaolo Alì, Director Southern Europe Security, Risk & Governance di Micro Focusche sono il cuore del business ma che, troppo spesso, non sono adeguatamente testate durante il processo di sviluppo o una volta entrate in produzione, per proteggersi da ogni possibile vulnerabilità. Attraverso le soluzioni Fortify, Micro Focus mette a disposizione tutti gli strumenti necessari a favorire uno sviluppo sicuro e predisporre test statici e dinamici, sia sui software sviluppati internamente sia su quelli acquisiti da terze parti”.

Le novità di Fortify 20

Micro Focus ha recentemente rilasciato la versione 20 della sua suite che introduce nuove funzionalità indirizzate agli sviluppatori per la sicurezza dei Container e che prevede un ampliamento dei linguaggi di programmazione supportati tra cui Kotlin e COBOL.

Inoltre, sono state aggiunte nuove funzionalità di automazione tra cui l’auto generazione delle macro e sono state rese disponibili API RESTful documentate con Swagger.

Micro Focus ha anche rafforzato la sua partnership con Sonatype attraverso un accordo OEM e l’integrazione della sua piattaforma di Software Composition Analysis (SCA), all’interno del servizio di test in cloud Fortify on Demand (FoD).

La soluzione SCA di Sonatype, basata sul motore di machine learning Nexus Intelligence, consente di effettuare un’analisi automatica durante l’uso dei software open source ai fini della gestione del rischio, della sicurezza e della compliance.

Un modello di sicurezza in linea con DevOps

Le azioni di sviluppo delle soluzioni Micro Focus Fortify continuano a indirizzarsi verso il rafforzamento di un modello di sviluppo pensato per sfruttare efficacemente i vantaggi offerti dalla metodologia DevOps e per prevedere l’automazione di alcune attività di controllo e l’integrazione degli aspetti di sicurezza applicativa e infrastrutturale fin dall’inizio del ciclo di sviluppo. L’obiettivo è di arrivare ad abilitare un flusso di lavoro integrato completamente automatizzato.

In questa direzione si inserisce un maggiore spostamento nelle mani dello sviluppatore delle attività di test effettuate su applicazioni o servizi Web in esecuzione (Dynamic Application Security Testing o DAST) portando all’interno dell’ambiente di sviluppo l’interazione tra le scansioni FoD e il codice sorgente.

Tutti i tasselli per la sicurezza delle applicazioni

Il modello di protezione proposto da Fortify è di tipo adattativo, con un programma di sicurezza applicativa di tipo centralizzato in grado di intervenire in ambienti ibridi che includono soluzioni on-premise, mobile e in cloud.

La famiglia di soluzioni Fortify comprende la soluzione Fortify Static Code Analyzer per effettuare test di sicurezza delle applicazioni in modalità statica (SAST) attraverso una scansione del codice sorgente;

Fortify WebInspect è la soluzione per l’Interactive Application Security Testing (IAST), la tecnica che combina test statici e dinamici.

Con il servizio Fortify on Demand, Micro Focus mette a disposizione anche funzionalità di Mobile Application Security Testing (MAST) per effettuare test delle applicazioni in ambiente mobile simulando i principali attacchi ed effettuando un assessment capace di estendersi all’intero stack tecnologico: client, rete e server.

Fortify Audit Workbench è un’applicazione complementare a Micro Focus Fortify Static Code Analyzer che mette a disposizione un’interfaccia grafica per analizzare e organizzare i risultati della scansione, aggiungere dati di audit, applicare filtri ed eseguire semplici report.

La famiglia Fortify comprende anche Application Defender, che consente di sviluppare applicazioni basate su tecnologia RASP (Runtime Application Self-Protection) ovvero dotate di meccanismi di auto-protezione da attacchi e vulnerabilità.

Tutte le soluzioni possono essere gestite attraverso Fortify Software Security Center, un repository di gestione centralizzato che fornisce visibilità sull’intero programma di sicurezza delle applicazioni dell’azienda per aiutare a eliminare le vulnerabilità di sicurezza che interessano il software.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche