Application security, così è possibile valutare i rischi

pittogramma Zerouno

Digital360 Awards

Application security, così è possibile valutare i rischi

Per RGI Cast Italia ha implementato una soluzione di analisi distribuita che consente di valutare le applicazioni oggetto di technical due diligence sotto una pluralità di aspetti, a partire dai rischi di sicurezza, di licenze e di obsolescenza

05 Set 2022

di Redazione

La crescita del gruppo RGI, azienda specializzata nella digitalizzazione dei processi nel mercato assicurativo, ha avuto una accelerazione coincidente con la spinta all’innovazione avvenuta nel periodo 2020- 2021. Il progetto dal titolo Analisi applicativa per la technical due diligence in processi di acquisizione. Il Caso di Successo di Cast Italia e del gruppo RGI, risultato finalista ai Digital Awards 2022 per la categoria Information e Cyber Security nasce dalla volontà dell’azienda di ampliare il proprio portfolio tecnologico acquisendo aziende specializzate, detentrici di asset software proprietari, che presidiavano determinati sotto-mercati. Applicazioni che dovevano essere integrate e di cui serviva, quindi, una attenta valutazione.

I rischi che possono nascondersi in applicazioni che apparentemente sembrano valide, infatti, sono molteplici. Riguardano l’obsolescenza, le licenze per componenti di terze parti e, in particolare, le vulnerabilità di sicurezza che caratterizzano proprio i componenti necessari al funzionamento e all’evoluzione dell’applicazione.

Le tecnologie Cast utilizzate

Per realizzare il progetto di verifica delle applicazioni, Cast Software ha utilizzato la propria applicazione Cast Highlight. Essa ha un componente di scansione che può essere azionato all’interno della azienda target per l’analisi del codice. Il risultato di tale analisi può essere ispezionato e quindi trasmesso alla piattaforma di visualizzazione e reportistica Cast Highlight SaaS.

Tutte le risultanze veicolate al sistema di reportistica Cast Highlight Cloud permettono di valutare le applicazioni oggetto di technical due diligence sotto una pluralità di aspetti, a partire dai rischi di sicurezza, di licenze e di obsolescenza.

Il processo prevede quindi una fase di elaborazione locale dei dati, seguita dal confronto con l’upload dei soli dati di sintesi senza alcuna “esposizione” della proprietà intellettuale. I fingerprints così ottenuti vengono caricati sul servizio Highlight SaaS e confrontati con il database, in modo da avere i riscontri che informano sulla provenienza di ciascun file.

Grazie a questa metodologia, i confronti vengono effettuati con estrema rapidità, in quanto il database e le operazioni di confronto sono su un infrastruttura cloud scalabile (i server utilizzati sono situati in un datacenter all’interno della Comunità europea).

Analisi applicativa per la technical due diligence in processi di acquisizione

Gli effetti della collaborazione tra Cast e Software Heritage

La collaborazione tra Cast e Software Heritage, un’iniziativa open supportata da molteplici istituzioni e in collaborazione con Unesco, permette la rilevazione puntuale dei fingerprints di 178 milioni di progetti open source, sia a livello di sorgenti che di binari.

Dalle operazioni di confronto con i fingerprint vengono individuate le versioni esatte dei componenti a cui appartengono i file, siano essi pacchetti binari, file in codice sorgente (come ormai accade per molti framework open source) con l’ulteriore beneficio di permettere l’individuazione di componenti open source “mixati” con il codice proprietario.

Caratteristica ulteriore è quella di potere attingere al crescente database Ossdib, elaborato da Cast tramite le proprie capacità di Sast- Static application security testing, per l’individuazione delle potenziali vulnerabilità non note presenti nei codici sorgenti dei più diffusi pacchetti open source. Questo permette di completare la valutazione della robustezza e dei rischi inerenti ai software del parco applicativo.

R

Redazione

Nel corso degli anni ZeroUno ha esteso la sua originaria focalizzazione editoriale, sviluppata attraverso la rivista storica, in un più ampio sistema di comunicazione oggi strutturato in un portale, www.zerounoweb.it, una linea di incontri con gli utenti e numerose altre iniziative orientate a creare un proficuo matching tra domanda e offerta.

Argomenti trattati

Approfondimenti

Digital360 Awards

Articolo 1 di 4