Ottimizzare la sicurezza applicativa

Questo articolo si propone di analizzare le sfide e le opportunità legate all'AppSec, fornendo una prospettiva strategica per i C-level e i responsabili tecnici.

Nel contesto attuale, caratterizzato da un'evoluzione rapida del panorama tecnologico, la sicurezza applicativa (AppSec) emerge come un pilastro fondamentale per la resilienza e la competitività aziendale.

L'industria del software ha assistito a una transizione dal tradizionale modello "Dev e Ops" al più integrato DevOps. Oggi, l'imperativo è l'ulteriore evoluzione verso il DevSecOps (e, per estensione, il Data-Sec-Ops), che integra la sicurezza in ogni fase del ciclo di vita dello sviluppo del software. Questa integrazione non è un mero esercizio tecnico, ma una necessità strategica dettata dall'intensificarsi delle minacce informatiche.
 

L'urgenza della sicurezza applicativa: dati e prospettive

I rischi informatici rappresentano una minaccia persistente e crescente per tutte le organizzazioni. Le tradizionali difese perimetrali e le posture di sicurezza statiche non sono più sufficienti a contrastare attacchi sempre più sofisticati. L’urgenza è evidente andando a leggere i report sulla sicurezza informatica di alcune fonti istituzionali dove potete approfondire il tema.

1. Aumento degli Incidenti

Nel 2023, gli incidenti di sicurezza informatica a livello globale sono aumentati dell'11% rispetto al 2022, con un picco significativo del 65% in Italia. La tendenza del primo semestre 2024 indica un'ulteriore crescita del 23% (Fonte: Clusit, Rapporto Clusit aggiornamento 10-2024).

Immagine: Incidenti per semebstre H1 2029 - H1 2024 - Fonte: © Clusit - Rapporto 2024 sulla sicurezza ICT in Italia - Aggiornamento 2024

Immagine: Incidenti per semebstre H1 2029 - H1 2024 - Fonte: © Clusit - Rapporto 2024 sulla sicurezza ICT in Italia - Aggiornamento 2024

2. Settori più colpiti

I settori più colpiti includono la Pubblica Amministrazione locale, centrale e il settore Tecnologico. Incidenti come la compromissione di siti istituzionali per la creazione di pagine di phishing evidenziano la vulnerabilità anche di entità pubbliche (Fonte: ACN, Operational Summary Marzo 2025).

L'immagine è meglio visibile a pagina 8 dell'Operationa Summary ACN, marzo 2025)

Settori colpiti da minacce informatiche (Fonte: ACN, Operational Summary Marzo 2025).

Immagine: settori colpiti da minacce informatiche (Fonte: ACN, Operational Summary Marzo 2025).

 

3. Supplay Chain Security

La compromissione delle dipendenze software (supply chain) è identificata come la principale minaccia emergente per il 2030 (Fonte: ENISA, 2024 Report on the State of Cybersecurity in the Union).

Report di Settore

Oltre ai report di organismi istituzionali come Clusit, ACN ed ENISA, è fondamentale considerare le analisi di aziende private specializzate in sicurezza informatica, che offrono prospettive complementari e approfondite:

  • Black Duck “Open Source Security and Risk Analysis”
  • Akamai "State of the Internet / Security"
  • Verizon "Data Breach Investigations Report (DBIR)"
  • Check Point "Cyber Attack Trends Report" / "Security Report"
  • Imperva "Bad Bot Report"

Quanto segue è una sintesi non esaustiva di questi report. Lo scopo è quello di offrire una panoramica per comprendere come e dove impegnare le risorse e concentrare gli sforzi per affrontare il tema emergente della Supply Chain Security.

Componenti critiche della sicurezza applicativa
 

L'analisi dei report evidenzia diverse aree critiche che i CIO e i CTO devono prioritizzare nella loro strategia di AppSec.

Prevalenza dell'Open Source: la maggior parte delle codebase moderne integra una percentuale significativa di componenti open source (spesso oltre il 70-90%). La sicurezza delle applicazioni è, di conseguenza, intrinsecamente legata alla sicurezza di questi componenti (Fonte: Black Duck, Open Source Security and Risk Analysis).

1,658 progetti analizzati da Black Duck audits

97%
 

dei codici base conteneva open source

70%
 

del codice scansionato aveva origine nell'open source

Una media di

911

componenti OSS sono stati trovati per applicazione

64%

dei componenti OSS erano dipendenze transitive

2020
5,386
2022
11,858
2024
16,082

Il numero di file open source in un'applicazione media è triplicato negli ultimi quattro anni.

Vulnerabilità note (CVE): una percentuale considerevole di codebase analizzate contiene componenti open source con vulnerabilità note. È cruciale quantificare e monitorare queste vulnerabilità (Fonte: Black Duck, Open Source Security and Risk Analysis).

86%
 

dei codebase contenevano almeno una vulnerabilità

81%
 

dei codebase contenevano vulnerabilità ad alto rischio o critiche

Numero massimo di vulnerabilità uniche trovate in un singolo codebase

3,548

Numero medio di vulnerabilità uniche per codebase

154

Vulnerabilità ad Alto Rischio: la classificazione delle vulnerabilità in base alla gravità (es. CVSS) permette di focalizzare l'attenzione su quelle ad alto rischio, che possono essere facilmente sfruttate dagli attaccanti.

 

 

86%

dei codebase valutati per il rischio contenevano open source vulnerabili

81%

dei codebase valutati per il rischio contenevano vulnerabilità a rischio elevato o critico

8 delle 10 principali vulnerabilità ad alto rischio sono state trovate in Query

Patch Gap: un aspetto critico è l’anzianità delle vulnerabilità. Molte vulnerabilità sfruttabili hanno patch disponibili da anni, indicando lacune nei processi di gestione delle patch e degli aggiornamenti. La tempestività nella correzione è tanto importante quanto l'identificazione.

Manutenzione e rischio operativo

91%

i tutte le codebase contenevano componenti OSS obsoleti.

90%

di tutte le codebase contenevano componenti più di 10 versioni indietro rispetto alla versione più attuale.

Conflitti di Licenza Open Source: oltre ai rischi di sicurezza, le licenze open source presentano rischi di compliance che non possono essere ignorati. L'integrazione di controlli sulle licenze nelle pipeline di sviluppo è essenziale per mitigare rischi legali.

Licensing

56%

di tutti i codebase presentavano conflitti di licenza

33%

di tutti i codebase contenevano componenti OSS senza licenza o con linguaggio di licenza personalizzato, tipicamente commenti dello sviluppatore su come il software deve essere utilizzato.

Impatto Settoriale: le analisi per settore industriale rivelano differenze significative nella gestione dei rischi open source, suggerendo la necessità di strategie di AppSec mirate.

AppSec - Le sigle di un mondo molto vasto da conoscere

Il mondo della sicurezza applicativa si è evoluto velocemente e ora offre un ventaglio di soluzioni per scansionare, analizzare, valutare le applicazioni.
Sono tante le sigle che le applicazioni di settore portano in dote a chi le adotta e non sempre le stesse sono facili o comprensibili, proviamo ad elencare le più importanti e dargli una definizione ed un indirizzo.

Application Security Testing (AST)

Nel panorama dell'Application Security Testing (*AST), esistono diverse metodologie e strumenti che offrono approcci complementari alla valutazione della sicurezza:

  • SAST (Static Application Security Testing): analizza il codice sorgente (o binario) senza eseguirlo, identificando vulnerabilità, errori di programmazione e violazioni delle best practice.
  • DAST (Dynamic Application Security Testing): valuta la sicurezza dell'applicazione in esecuzione, simulando attacchi dall'esterno per identificare vulnerabilità.
  • IAST (Interactive Application Security Testing): combina gli approcci SAST e DAST, monitorando l'applicazione in esecuzione per rilevare vulnerabilità con maggiore precisione e minor falsi positivi. Tale approccio prevede l’uso di “sensori” inseriti nel codice che rilevano le vulnerabilità quando la parte di codice viene attivata in fase di test.
  • MAST (Mobile Application Security Testing): specificamente orientato allo sviluppo e alla sicurezza delle applicazioni mobile.

  • PT (Penetration Testing): un processo manuale e intrusivo condotto da esperti di sicurezza (ethical hacker) che simulano attacchi reali per identificare vulnerabilità critiche e la loro effettiva sfruttabilità. Sebbene non sia un *AST puro, è complementare e offre una prospettiva "da attaccante".

La Software Composition Analysis (SCA). Un fondamento indispensabile
 

Nei paragrafi precedenti abbiamo approfondito il tema della Supply Chain come pericolo emergente da monitorare e la SCA è la risposta delle aziende di settore per misurare ed evidenziare l’esposizione a tale rischio. La Software Composition Analysis (SCA) è un processo automatizzato cruciale per identificare e analizzare i componenti open source e di terze parti all'interno di un'applicazione. La SCA non solo rivela vulnerabilità di sicurezza, ma anche potenziali conflitti di licenza, fornendo una visione completa della composizione software.

ASPM (Application Security Posture Management). L'Approccio Olistico

Per superare la frammentazione degli strumenti e delle metodologie, è emerso il concetto di ASPM (Application Security Posture Management). L'ASPM offre una visione olistica della postura di sicurezza delle applicazioni, integrando i risultati dei vari test AST con policy, pratiche e strumenti per garantire la "sicurezza by design". L'obiettivo è fornire ai team di sviluppo una comprensione chiara dei rischi e soluzioni pronte all’uso, permettendo un miglioramento continuo della sicurezza lungo l'intero ciclo di vita del software.

Costruire una Strategia di Sicurezza Applicativa efficace

Per le organizzazioni che sviluppano software internamente o che integrano codice di terze parti, l'implementazione di una strategia di AppSec robusta è indispensabile. Questo richiede CI/CD (esplicato anche nell'immagine).

Ci/CD
 

  • Integrazione nelle Pipeline DevOps: I test SAST, DAST, IAST e SCA devono essere integrati direttamente nelle pipeline di Continuous Integration/Continuous Delivery (CI/CD). Questo permette di identificare e risolvere le vulnerabilità precocemente, riducendo i costi e i tempi di remediation. La configurazione delle pipeline può includere blocchi alla messa in produzione in caso di mancato rispetto degli standard di sicurezza.
  • Gestione del Codice Sorgente: l'accesso al codice sorgente è fondamentale per l'efficacia di strumenti come SAST e SCA. Tali analisi possono essere eseguite direttamente sugli strumenti di sviluppo personali IDE o nelle piattaforme di versionamento come Git e strumenti di orchestrazione delle pipeline (es. Jenkins, Bitbucket, GitLab).
  • Combinazione di Strumenti: un approccio completo richiede la combinazione di diverse tipologie di test. Mentre alcuni strumenti (IAST, PenTest) possono operare senza accesso al codice sorgente, l'integrazione di tutti gli approcci fornisce la copertura più estesa.
  • Scelta delle soluzioni: le organizzazioni possono optare per soluzioni open source o proprietarie, implementate on-premise o in modalità SaaS, in base alle proprie esigenze e risorse.

Per concludere, la sicurezza applicativa non è più un'opzione, ma una componente critica di qualsiasi strategia IT e aziendale. L'adozione di un approccio DevSecOps, supportato da strumenti di analisi avanzata e da una gestione olistica della postura di sicurezza (ASPM), è fondamentale per proteggere gli asset aziendali, garantire la continuità operativa e mantenere la fiducia dei clienti in un panorama di minacce in continua evoluzione. Investire in AppSec significa investire nella resilienza e nel futuro dell'organizzazione.
 

 

Ti è piaciuto quanto hai letto? Iscriviti a MISPECIAL, la nostra newsletter, per ricevere altri interessanti contenuti.

Iscriviti a MISPECIAL

 

Contenuti simili
DIGITAL ENTERPRISE
lug 29, 2025
Observability. Una visione completa

L'Observability è un approccio che promette di offrire una visione completa e robusta del proprio ecosistema dati. Ma cosa significa esattamente e perché sta diventando così cruciale per le aziende?

DIGITAL ENTERPRISE
EC2 in Auto Scaling e deployment con CodeDeploy – Analisi, Diagnosi e Soluzione
lug 23, 2025
EC2 in Auto Scaling e deployment con CodeDeploy

EC2 in Auto Scaling e deployment con CodeDeploy – Analisi, Diagnosi e Soluzione