In un contesto sempre più complesso dal punto di vista tecnologico, geopolitico ed economico, le aziende si trovano nella necessità di capire e analizzare a fondo i software che scelgono, andando oltre ai confini degli approcci tradizionali nei confronti delle soluzioni automatizzate sulla qualità dei software. L’imperativo è sempre più quello di portare sicurezza in tutto lo sviluppo del ciclo di vita del software come parte del DevOps e del DevSecOps, facendo in modo che la sicurezza faccia parte fin dalla fase della programmazione di strategie, design e approcci. A fare il punto della situazione sulle soluzioni in campo è il “Worldwide Application Security Testing, Code Analytics, and Software Composition Analysis 2022” di Idc, focalizzato sulle tecnologie di application securtiy testing (Ast) e di qualità e analisi dei software sul versante della programmazione, con l’obiettivo di aiutare e gli utenti per l’acquisto delle soluzioni più adatte alle loro necessità.
Opportunità e sfide dell’approccio cloud-native
Dal report emerge che le applicazioni cloud-native e la spinta verso i microservizi e la containerizzazione, come il ricorso ai software open-source, aprono insieme alle opportunità anche una serie di sfide. Tra queste emergono gli attacchi indirizzati contro le utilities dei sistemi operativi, che sono relativamente semplici da mettere a segno anche per hacker non particolarmente esperti. Le vulnerabilità delle Api sono, ad esempio, un vettore di attacco in crescita, con l’esposizione, la forzatura o l’hackeraggio che può condurre in un secondo momento a data breach più estesi.
La domanda di sicurezza vira sulla qualità dei software
Man mano che organizzazioni come banche o sistemi produttivi industriali sviluppano i propri servizi su piattaforme mobili in cloud, e man mano che nel manifatturiero si utilizzano in maniera crescente i software integrati, Idc vede la domanda di sicurezza estendersi nel campo della qualità dei software, come nel caso della deep code analysis. Le aziende sono così portate a misurare l’impatto delle loro scelte e hanno bisogno di visibilità in profondità, attraverso scelte di policy precise e attraverso strumenti automatizzati sempre più efficaci. Questo include lo “static application security testing” (Sast), il “dynamic application security testing” (Dast), l’ “interactive application security testing” (Iast), il “mobile application security testing” (Mast), i test di collaudo e i penetration test, insieme a metriche e analisi che aiutino a capire le conseguenze sul business che derivano dalla sicurezza delle applicazioni strategiche.
Il contributo di software sicuri e di qualità al successo del business
Secondo l’analisi di Idc i software di più alta qualità, in grado di funzionare in maniera dinamica e adattiva, e ovviamente sicuri sono in grado oggi più che mai di contribuire all’innovazione e al successo di un business. “Vediamo il coordinamento tra i team che si occupano della qualità dei software e di quelli che governano la sicurezza come una parte fondamentale della integrazione continua e dello sviluppo agile DevOps con il DevSecOps – spiega Idc – Stabilire approcci architetturali e di design è una delle ricette per dare vita a software più resilienti, mentre la sicurezza delle applicazioni rimane sfidante per le aziende man mano che dovranno continuare a confrontarsi con attacchi aggressivi ad ambienti business critical e alle infrastrutture”.
Strategie ben definite, attitudine nella selezione delle decisioni migliori, insieme alla sicurezza e alla qualità del software possono fare la differenza tra un progetto di successo e uno destinato a fallire, secondo la vision di Idc. “Non ci sono margini per un basso livello di sicurezza dei software man mano che le aziende si confrontano con le incertezze economiche del momento – spiega la società – con le soluzioni che crescono di complessità e lo sviluppo interno e i controlli di qualità che sono meno forti rispetto a quanto fossero 18 o 24 mesi addietro”.
Aumentano gli sviluppatori non professionali
Interessante notare inoltre, prosegue Idc, come in questo periodo si stia assistendo a una crescita degli sviluppatori non professionali, con un passaggio graduale da centri di eccellenza a strumenti di programmazione meno performanti dal punto di vista della sicurezza. Nonostante questo, la maggior parte delle organizzazioni, con una percentuale vicina all’’86%, è impegnata in attività di collaborazione su qualità e sicurezza trasversali ai diversi team, mentre un altro 11% dedica al tema riunioni periodiche.
La top 16 di Idc
Le 16 aziende prese in considerazione da Idc vedono nel gruppo di quelle più “attrezzate”, quello dei “leader” Veracode, Synopsys, CheckMarx ed Hcl. A cavallo tra i “leader” e i “major players” si attesta MicroFocus, mentre della seconda categoria fanno parte Perforce, Ntt Application Security, Parasoft, Contrast Security, Ibm, GitLab, GitHub e SonarSource. Nella categoria dei “contenders” compaiono infine Keysight, Smartbear e Digital.ai