CyberRes, la business unit di Micro Focus dedicata alla cyber resilienza, mette a disposizione gli strumenti per realizzare applicazioni sicure attraverso l’intero ciclo di vita

 

L’esigenza di accelerare lo sviluppo del software e aumentare la frequenza di rilascio sta alimentando il crescente successo del modello di sviluppo DevOps. DevOps promuove un insieme di processi e metodi per abilitare una relazione più collaborativa tra i team di sviluppo (Development) e quelli delle Operation, sfruttando una metodologia Agile di scrittura del software e favorendo l’adozione del cloud e di Infrastructure as Code (IaC) nonché di strumenti di automazione e configuration management.

Da DevOps a SecDevOps

Con DevOps il team di sviluppo e quello operativo hanno iniziato a lavorare insieme e questo ha consentito di velocizzare lo sviluppo dei software, affiancando al lavoro di progettazione e realizzazione quello di testing e rilascio.

DevOps rappresenta, dunque, un’opportunità di efficienza e riduzione del time to market grazie alla sua capacità di ridurre drasticamente il tempo tra “commitment” e rilascio in produzione del software nonché di accelerare le procedure di recovery in caso di incidenti.

Tuttavia, il desiderio di velocizzare non sempre si sposa con l’esigenza di sicurezza col risultato che, attualmente, la maggior parte delle applicazioni presenta problemi di sicurezza.

Una ricerca del Fortify Software Security Research Team evidenzia come il 79% delle applicazioni Web presenti almeno un problema critico o molto serio di sicurezza; percentuale che sale fino all’88% nel caso di applicazioni mobili.

Passare da DevOps a SecDevOps significa introdurre il tema della sicurezza in ogni stadio della pipeline DevOps a cominciare dall’inizio del ciclo di vita dello sviluppo.

L’obiettivo è di creare applicazioni scritte, fin dalla prima linea di codice, per essere prive di vulnerabilità e protette da attacchi senza dover rinunciare ai vantaggi offerti da DevOps.

CyberRes Fortify: tutto ciò che serve per SecDevOps

Integrare la sicurezza applicativa all’interno del ciclo di sviluppo software richiede un cambiamento nel modo di affrontare il processo di sviluppo del software, ma non è possibile senza specifici strumenti di integrazione, controllo e automazione.

Peraltro, ogni ambiente di programmazione presenta caratteristiche e vulnerabilità specifiche, che richiedono strumenti versatili in grado di adattarsi ai molteplici linguaggi.

CyberRes è la business unit che Micro Focus, uno dei principali fornitori di software enterprise al mondo, dedica all’esigenza di garantire la cyber resilienza e una protezione efficace di dati, applicazioni e identità digitali.

Uno dei pilastri fondamentale alla base della visione CyberRes per conseguire la cyber resilienza è l’integrazione della sicurezza all’interno del modello di sviluppo DevOps.

Per questo motivo la famiglia CyberRes Fortify mette a disposizione tutti gli strumenti necessari per realizzare un framework SecDevOps e integrare gli aspetti di sicurezza in tutti le fasi del ciclo di sviluppo e rilascio del software.

Inoltre vanta la più ampia copertura del mercato con il supporto di ben 27 linguaggi di programmazione; un numero, peraltro, in continua espansione.

Pierpaolo Alì, Director Southern Europe di CyberRes

Pierpaolo Alì, Director Southern Europe di CyberRes

“Le applicazioni sono centrali per il business odierno e renderle resilienti è un requisito irrinunciabile – spiega Pierpaolo Alì, Director Southern Europe di CyberRes -. A questo obiettivo CyberRes dedica la famiglia di soluzioni Fortify che ha la capacità di coniugare test applicativi statici, dinamici e di simulare i principali attacchi per ambienti mobile, unitamente alla flessibilità di scegliere un’implementazione locale oppure on-demand”.

Questa famiglia di software fornisce una visibilità completa della situazione di rischio applicativo e una protezione multilivello.

Combinando test di sicurezza delle applicazioni di tipo statico (Fortify Static Code Analyzer), dinamico (Fortify WebInspect), analisi delle vulnerabilità open source attraverso gli strumenti di Software Composition Analysis che derivano dalla partnership con Sonatype, autoprotezione delle applicazioni runtime (RASP) e test di sicurezza delle applicazioni mobili si ottiene il massimo livello di protezione.

Inoltre, la combinazione tra strumenti SAST e DAST offerta da Fortify mette a disposizione una tassonomia unificata particolarmente utile in un contesto DevOps dove interagiscono più team.

Tutte le fasi di visualizzazione, controllo, analisi delle vulnerabilità, automazione e gestione DevOps sono esercitata tramite una piattaforma di gestione unificata (Fortify Software Security Center).

Tutte le funzionalità di testing sono disponibili anche in modalità as a service tramite il servizio Fortify on Demand.