Sicurezza al top: la rivoluzione dell’automazione e dell’AI nel coding

Pubblicato il 7 agosto 2024

Introdurre nuove applicazioni in azienda è un processo che richiede molto tempo. Per implementare, integrare, personalizzare, gestire il funzionamento e gli aggiornamenti, e ottimizzare la postura di sicurezza gli sviluppatori devono adattare o aggiungere codice e scansire e proteggere le modifiche applicative, attività che spesso richiede mesi.

In questo arco temporale, si devono comunque sostenere i costi di licenza che si traducono in spese non necessarie, ostacoli all’innovazione in altri ambiti e rischi per la sicurezza complessiva dei programmi. Soprattutto, però, comporta tempo e fatica per sviluppatori e responsabili della sicurezza. Ma cosa succede, invece, se i passaggi necessari vengono in gran parte automatizzati?

Lo studio di Veracode

Nel mondo del software enterprise, la sicurezza è un elemento non negoziabile. In particolare, alla luce dei risultati del Veracode State of Software Security 2024 Report (SoSS 2024) che ha identificato un cosiddetto “debito di sicurezza” – un accumulo di falle non corrette per lunghi periodi di tempo – nel 71% delle imprese.

Anche se la necessità di gestire i rischi applicativi con scansioni e azioni di remediation è innegabile, gli sviluppatori di solito non hanno molto tempo da dedicare a questa attività, come dimostrato dal SoSS 2024. Dalla configurazione delle pipeline alla creazione dei ticket, ogni fase richiede tempo e impegno.

Si tratta di una difficoltà che si moltiplica in modo esponenziale nelle aziende con centinaia o migliaia di applicazioni che devono essere implementate, elaborate, scansionate e protette, con tempistiche generalmente strette e sviluppatori carichi di lavoro. Non c’è quindi da sorprendersi se la sicurezza non sia uno dei compiti prediletti da parte degli sviluppatori.

Per di più, spesso questi non sono sufficientemente formati dalle loro aziende. Secondo il Veracode ESG Survey Report quasi il 70% degli sviluppatori dichiara di non ricevere una formazione adeguata in materia di sicurezza dal proprio datore di lavoro, e quindi di dover trovare in autonomia il modo di tenersi aggiornati.

L’automazione semplifica i workflow di sviluppo

Un possibile correttivo è l’eliminazione del processo di integrazione della sicurezza nello sviluppo del software, che richiede molto tempo, e la sua automatizzazione con strumenti basati su Machine Learning (ML) o Intelligenza Artificiale (AI). Il principio è semplice: non appena uno sviluppatore esegue un’azione, come la modifica di un codice, lo strumento attiva automaticamente la scansione di sicurezza in background.

I risultati sono immediati, comprensivi di potenziali vulnerabilità di sicurezza e dipendenza delle library. Allo stesso modo, vengono evidenziate le possibili soluzioni.

L’approccio mira a liberare gli sviluppatori dalla necessità di configurare e sviluppare manualmente le applicazioni, integrando invece la scansione della sicurezza del codice e la correzione delle vulnerabilità nei flussi di lavoro attraverso l’automazione. Invece di dedicare tempo a configurazione, scansione e manutenzione, gli sviluppatori possono concentrarsi su attività essenziali: lo sviluppo e la personalizzazione di software di alta qualità che supporta o abilita una serie di operazioni e processi. Questo migliora l’efficienza del loro lavoro ed elimina attività tediose e ripetitive, rendendo l’attività più appagante e il potenziale di innovazione più concreto.

Anche la sicurezza ne trae vantaggio: con l’esecuzione automatica delle scansioni e i suggerimenti di miglioramento, la probabilità di violazioni diminuisce in modo significativo. Questo è particolarmente importante in un momento in cui i rischi sono in aumento poiché gli attaccanti fanno sempre più ricorso all’intelligenza artificiale.

Un aspetto importante di questo approccio è l’eliminazione automatizzata delle vulnerabilità di sicurezza nel codice del software applicativo e la sua adattabilità a diverse piattaforme di sviluppo. Dagli ambienti di sviluppo integrati ai sistemi di integrazione continua, l’automazione è possibile quasi ovunque. Che si tratti di GitHub, Azure DevOps, GitLab o Bitbucket, ogni sviluppatore dovrebbe poter beneficiare di questi vantaggi.

Onboarding di più applicazioni in tempi più ridotti

Gli effetti di questo approccio si fanno subito sentire, con risultati davvero degni di nota da parte delle aziende che hanno adottato l’automazione. Ad esempio, una nota e grande azienda del settore multimediale è riuscita a integrare in modo sicuro ben 3.000 applicazioni in un mese e mezzo grazie a processi e modelli semi-automatici come l’integrazione CI e l’app GitHub workflow.

Si tratta di un’accelerazione enorme rispetto ai metodi manuali tradizionali e dimostra il potere di trasformazione dell’automazione basata su AI e ML che consente alle organizzazioni di ottimizzare lo sviluppo delle applicazioni e le operazioni di sicurezza per raggiungere un maggior numero di obiettivi in minor tempo.

Riduzione del debito di sicurezza e ottimizzazione dei processi di sviluppo

Il successo dello sviluppo applicativo e il potenziale di innovazione di un’impresa dipendono da sviluppatori appagati. Automatizzando attività importanti ma non apprezzate, come la sicurezza del codice, che di norma richiede molto tempo, gli sviluppatori possono concentrarsi sulle attività chiave e contribuire con maggiore creatività allo sviluppo e crescita dell’azienda, senza dover scendere a compromessi in termini di sicurezza.

L’automazione non toglie agli sviluppatori la responsabilità di una codifica sicura. Piuttosto, li supporta evidenziando errori o lacune in fase iniziale e suggerendo soluzioni. Inoltre, aiuta a integrare maggiormente gli aspetti di sicurezza nel processo di sviluppo, il che porta in ultima analisi a una maggiore qualità del software.

Gli sviluppatori possono intervenire più facilmente contro il debito di sicurezza. Stando allo State of Software Security Report di Veracode, il 46% delle organizzazioni presenta vulnerabilità gravi e persistenti che sono considerate “debiti di sicurezza critici” e mettono le aziende a serio rischio in termini di impatto su riservatezza, integrità e disponibilità. Con una remediation abilitata dall’AI, gli sviluppatori possono ridurre il tempo di risoluzione delle falle di sicurezza da ore a minuti, con un risparmio di centinaia di migliaia di euro per le loro organizzazioni.

Il futuro del coding sicuro è l’automazione

Al giorno d’oggi, due aspetti sono in primo piano nello sviluppo applicativo: la velocità (going live, time-to-market) e la sicurezza. Eliminando i processi manuali e fornendo soluzioni automatizzate, le aziende non solo risparmiano tempo e costi, ma portano lo sviluppo del software a un nuovo livello. Maggiore sicurezza, superiore potenziale di innovazione, time-to-market accelerato e migliori opportunità competitive in un mondo globale. Diventa quindi possibile effettuare scansioni il prima possibile, in modo più esteso e in ogni fase della pipeline, senza che gli sviluppatori perdano il piacere del coding.

Il futuro della codifica sta nell’automazione. L’efficienza dei tempi e dei costi, la sicurezza del software e l’appagamento personale in fase di programmazione non sono più un sogno, ma una realtà.

Fonte foto Pixabay_Pexels

A cura di Massimo Tripodi, Country Manager Italia di Veracode - www.veracode.com



Contenuti correlati

  • B&R AI generativa collaborazione in cloud progettazione Automation Studio Code
    Ingegneria in cloud e assistenti AI nella suite di progettazione B&R

    Alla fiera SPS di quest’anno a Norimberga, in Germania, B&R ha annunciato un importante aggiornamento della sua suite completa di software di progettazione e runtime. Con Automation Studio Code, B&R introduce un’esperienza di progettazione completamente nuova. La...

  • Vectra AI SOC
    Mancano 5 milioni di esperti di cybersecurity – e adesso?

    ISC2, la principale organizzazione non-profit al mondo per i professionisti della sicurezza informatica, ha stimato che quest’anno la carenza di professionisti della cybersecurity raggiungerà quota 4,8 milioni, segnando una crescita del 19% su base annua. Il gap...

  • Energy Group Stratasys additive manufacturing r evolution
    Additive manufacturing R-evolution al via con Energy Group e Stratasys

    Il mondo dello sport può trarre grandi benefici dall’additive manufacturing: prototipazione, customizzazione, soluzioni per l’agonismo, produzione di singole parti funzionali e persino di interi lotti. Come? Affidandosi alla giusta tecnologia ma anche ai materiali più adatti ad...

  • Non c’è innovazione senza cybersecurity: il caso Dolomiti Energia

    La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...

  • Nell’ultimo numero di KEYnote, la rivista di Wibu-Systems: proteggere i modelli di AI e ML

    L’ultimo numero della rivista KEYnote, la pubblicazione semestrale presentata dagli specialisti di protezione e licensing di Wibu-Systems, è appena stata rilasciata ed è disponibile in vari formati digitali di facile lettura. L’edizione Autunno/Inverno copre una vasta gamma...

  • Omron Europe ottiene la certificazione IEC 62443-4-1

    Il reparto di ricerca e sviluppo di Omron Europe BV ha ottenuto la certificazione per lo standard IEC 62443-4-1 sui requisiti per lo sviluppo sicuro dei prodotti durante il loro intero ciclo di vita. Questa certificazione, rilasciata dall’ente riconosciuto a...

  • Advantech lancia il servizio di certificazione IEC 62443

    Advantech lancia il servizio di certificazione IEC 62443, pensato per le esigenze di certificazione delle apparecchiature di edge computing in conformità alla norma IEC 62443 e agli standard correlati. Advantech offre una soluzione completa per aumentare la...

  • Agricoltura verticale? Possibile con l’automazione

    L’intero sistema dell’inglese IGS, che fornisce piattaforme in grado di creare climi ideali per piante e persone, è gestito da software e robot mobili Omron L’agricoltura verticale automatizzata si sta sviluppando rapidamente, tanto che il mercato globale...

  • CybergOn NIS2
    PMI sotto attacco: la direttiva NIS2 apre una nuova fase per la cybersecurity

    La direttiva NIS2 (Network and Information Security Directive) rappresenta l’occasione per introdurre una nuova consapevolezza nei consigli di amministrazione delle aziende, nell’ottica di elaborare una strategia di cybersecurity a lungo termine e incentivare la competitività garantendo la...

  • Yaskawa nuovo controller iC9226 automazione industriale
    Nuovo controller nella piattaforma di automazione Yaskawa in SPS

    In occasione di SPS Norimberga, Yaskawa continua l’espansione della sua piattaforma di automazione ‘iCube Control’, presentando il controller serie iC9226 in funzione. Il controller iC9226 funziona con il chip industriale Triton di Yaskawa e può controllare fino...

Scopri le novità scelte per te x