Lo sviluppo e l’evoluzione negli anni di un software, che sia sviluppato internamente da una grande azienda o che sia delegato a una software house ha tempi, passaggi, stadi che difficilmente possono escludere che qualche errore nella sua scrittura sia sfuggito. E più errori ci sono nei software e più aumenta di riflesso anche la loro vulnerabilità agli attacchi cyber. Un tema questo che appassiona Veracode, azienda che ha come mercato di riferimento l’application security testing, che affronta attraverso le proprie soluzioni SaaS che rendono sicuro il software sviluppato internamente dalle grandi organizzazioni: dalle banche, utilities, manufacturing, fino alle stesse software house.
Tremila i clienti nel mondo, di cui una trentina in Italia. “Numeri importanti che ci hanno permesso di costituire una ricca knowledge base di casistiche che ci consente di essere veloci ed efficaci nell’individuare e risolvere le vulnerabilità” dichiara Massimo Tripodi, country manager di Veracode per l’Italia.
Vulnerabilità nel software: Veracode le rileva con diverse attività di scanning
L’offerta Veracode si compone di una piattaforma alla base della quale è una serie di servizi atti alla gestione della sicurezza applicativa, a partire dalla consapevolezza delle eventuali falle che si possono avere nei propri software, resa possibile attraverso diverse tecnologie di scanning, dall’analisi statica, a quella dinamica, analisi delle terze parti intervenute nello sviluppo, principalmente opensource, analisi dei container, degli script che servono al funzionamento di Kubernetes. Strumenti che sono tutti integrati all’interno della piattaforma di Veracode, consentendo all’utente un’unica vista di tutti i livelli di vulnerabilità dei propri applicativi. Segue poi il processo di correzione delle falle, almeno le più rischiose.
AI generativa (e open source) per la remediation delle falle nella scrittura applicativa
“Siamo gli unici ad avere digitalizzato il processo di remediation, attraverso l’AI generativa –spiega Tripodi -. Un progetto, concretizzato nel 2023, basato su un algoritmo Gpt in versione opensource addestrato con i nostri esperti di sicurezza e sulla nostra knowledge base, che è in grado oggi di recepire la vulnerabilità, capirne il contesto del cliente, e ripararla in maniera automatica”.
Risultati possibili, però, se a monte c’è una formazione adeguata delle persone addette allo sviluppo, attraverso un sistema che consenta loro di capire come muoversi, come evitare o risolvere le vulnerabilità. Uno strumento formativo, paragonabile a un laboratorio di sviluppo, che è integrato nella piattaforma Veracode, i cui dati stessi guidano i percorsi di apprendimento degli sviluppatori.
Dal report Veracode: il 70,8% delle aziende ha un debito di sicurezza, di cui il 46% è critico
Ed è proprio l’approccio nativo as a service che ha permesso a Veracode di raccogliere, sulla base esperienziale dei propri clienti, una grande quantità di dati che la portano a stilare un report dal quale emerge che il 70,8% delle organizzazioni a livello mondo ha un debito di sicurezza, letto come un accumulo di vulnerabilità che rimane non risolto per oltre un anno e, per il 45,9% di questi, tale debito è di natura critica.
Alcuni di questi motivi Veracode li ha identificati. Da un lato il progresso tecnologico, che ha consentito, anche con il contributo dell’AI, di generare codici a velocità esponenziali, la cui integrità diventa impossibile da controllare o correggere dagli sviluppatori mantenendo lo stesso ritmo. Risorse che non riescono a stare al passo con le vulnerabilità, nemmeno su quelle critiche.
E pare che non sia più sufficiente darsi delle linee guida interne alle aziende, dato che proprio nei casi di vulnerabilità critiche si è visto che ben il 65% del codice non è stato scritto internamente, ma arriva da terze parti, per lo più da una supply chain della community open source. Una casistica che interessa sia applicazioni on prem sia quelle già migrate in cloud.
Ci sono rischi e rischi: dare una priorità per renderli gestibili dalle risorse esistenti
“Con questo non intendiamo sconsigliare l’utilizzo dell’open source, ma di tenerlo sotto controllo, attraverso una software composition analysis, che rivela il codice di terze parti e le relative vulnerabilità e le ripara – dettaglia Tripodi -. L’assunto che ne esce dalla nostra analisi è, infatti, che chi è consapevole dei propri rischi e sa come gestirli è già a buon punto nella propria strategia di protezione. Il 3% del debito critico è costituito da vulnerabilità critiche, da qui la possibilità di prioritizzare il rischio diventa fondamentale, data la disparità crescente con le risorse disponibili per rimediare”.
All’inesorabile crescente scarsità delle risorse, Veracode risponde, come sopra accennato, con l’Intelligenza Artificiale, riuscendo ad allineare la capacità di remediation con la velocità con cui vanno le attività di sviluppo. Stare al passo, insomma. “Quando il tempo medio di risoluzione effettuato “a mano” dagli sviluppatori è, in genere, di 90 giorni, mentre mediante l’AI si riduce a qualche minuto” sottolinea Tripodi.
L’approccio commerciale di Veracode è misto, utilizzando sia la forma diretta, che rappresenta il 40% del giro d’affari generato, sia quella indiretta, che delega il restante 60% a un canale di partner costituito da system integratorne da realtà altamente specializzate nella sicurezza.
Cinque i partner che attualmente compongono il canale italiano, numero che si prevede raddoppierà nel corso dell’anno. Partner che vengono supportati attraverso il Velocity Partner Program, strutturato su 3 livelli: Silver, Gold e Platinum, in misura del fatturato generato e delle competenze e certificazioni acquisite.
