Perché la sicurezza efficace delle applicazioni deve prendere in esame l’intero ciclo di vita del software

redazione

Un livello efficace di sicurezza applicativa si misura dalla capacità di valutare lo stato delle applicazioni durante tutto il ciclo di vita del software – non soltanto nella fase di sviluppo ma fino alla produzione. Per quale motivo? Avendo anticipato i principi della sicurezza fino a incorporarli nel processo di sviluppo (shift left), verrebbe da chiedersi quale sia il bisogno di riportare la sicurezza anche nella fase di produzione.

La risposta, senza mezzi termini, è che purtroppo nessuno è perfetto e che i malintenzionati sono sempre in agguato. Di fronte ai ritmi incessanti degli odierni processi di sviluppo sarebbe sciocco pensare di essere riusciti a individuare e correggere tutti i difetti prima che l’applicazione passasse in produzione; esattamente come sarebbe superficiale presumere che i cybercriminali si stanchino di inventare sempre nuovi modi per ‘craccare’ il codice.

La scansione dinamica delle app al momento del runtime consente di isolare problemi e vulnerabilità che non sarebbero assolutamente individuabili con una semplice analisi statica. La scansione delle applicazioni in produzione con l’analisi dinamica è quindi un elemento cruciale di qualsiasi programma di Application Security che ambisca a essere efficace.

D’altro canto, però, le soluzioni di analisi dinamica devono integrarsi nei processi DevOps e garantire piena sicurezza senza rallentare o bloccare i rilasci del software. Per aiutarvi a riconciliare due esigenze apparentemente opposte, la scansione dinamica delle app in produzione e gli sviluppi del mondo DevOps, CA Veracode ha messo a punto una nuova soluzione DAST (Dynamic application security testing ) dalle funzionalità ulteriormente migliorate: CA Veracode Dynamic Analysis. Con le sue caratteristiche di automazione, profondità di copertura e scalabilità senza pari, questa soluzione offre una serie di vantaggi consistenti.

Risparmio in termini di tempo ed energie per la scansione in produzione
Grazie alle funzionalità di scheduling ricorrente di CA Veracode Dynamic Analysis, non è più necessario ricordarsi di lanciare e monitorare le scansioni, che possono essere impostate in base a un calendario predefinito. Grazie alla funzione automatica Pause & Resume, non sarà necessario nemmeno occuparsi delle maintenance window perché Dynamic Analysis le metterà automaticamente in pausa per poi riprendere da dove si era interrotto.

Scansione dinamica di tutte le app in modo rapido e accurato
CA Veracode Dynamic Analysis è in grado di gestire tutte le applicazioni, persino le web app di difficile scansione (come quelle di una pagina o quelle molto grandi). Inoltre, permette ai team di sviluppo di continuare a procedere con la stessa rapidità con cui la soluzione esamina e controlla le pagine, e con una percentuale eccezionalmente bassa di falsi-positivi (<1%), che eviterà agli sviluppatori di sprecare tempo a inseguire minacce inconsistenti.

Onboarding e scalabilità per tutte le applicazioni aziendali
Per impostare una scansione con CA Veracode Dynamic Analysis basta inserire un URL, senza bisogno di coordinarsi con il team di sviluppo per esaminare tutto il codice e i file binari. Se si desidera eseguire la scansione di più applicazioni non serve caricarle una alla volta ma si può semplicemente caricare un file .csv su Dynamic Analysis contenente tutti gli URL. Inoltre, è possibile pianificare una scansione batch di un gruppo di applicazioni per analizzarle in contemporanea. Indipendentemente dalle dimensioni dell’azienda, grazie alla funzione di scansione contemporanea non sarà più necessario aspettare la fine di una scansione per avviare la successiva.

Tutti i risultati dei test accessibili da un’unica postazione
Infine, con la nuova soluzione CA Veracode è possibile raccogliere in un’unica postazione centrale i risultati di tutti i test AppSec (statici, dinamici, SCA, penetration test). Questa vista unificata sugli esiti dei test faciliterà il coordinamento degli interventi correttivi da parte dei vari team tenendo traccia dei propri progressi.a.
di Bhavna Sarathy, Principal Product Manager for the CA Veracode Web Application Scanning product line