Prodotti e soluzioni
Soluzioni specifiche per settori
Soluzioni aziendali
Supporto e servizi
Supporto
Servizi professionali IT
Istruzione e formazione
Programmi accademici
Informazioni
Chi siamo
Notizie ed eventi
Partner
La sicurezza delle applicazioni è la disciplina di processi, strumenti e pratiche volte a proteggere le applicazioni dalle minacce lungo l’intero ciclo di vita dell’applicazione. I cyber criminali sono organizzati, specializzati e motivati a individuare e sfruttare le vulnerabilità nelle applicazioni aziendali per rubare dati, proprietà intellettuale e informazioni sensibili. La sicurezza delle applicazioni può aiutare le organizzazioni a proteggere tutti i tipi di applicazioni (ad esempio, legacy, desktop, Web, mobile, micro servizi) utilizzate dagli stakeholder interni ed esterni, inclusi clienti, partner commerciali e dipendenti.
Come confermano molteplici studi, la maggior parte delle violazioni di successo colpisce le vulnerabilità sfruttabili che risiedono nel livello applicativo, il che indica la necessità per i dipartimenti IT aziendali di essere particolarmente vigili sulla sicurezza delle applicazioni. Inoltre, il numero e la complessità delle applicazioni sono in aumento, cosa che aggrava ulteriormente il problema. Dieci anni fa, la sfida della sicurezza del software riguardava la protezione delle applicazioni desktop e dei siti Web statici che erano abbastanza innocui e facili da gestire e proteggere. Ora, la catena di distribuzione del software è molto più complicata considerando lo sviluppo in outsourcing, il numero di applicazioni legacy, insieme allo sviluppo interno che si avvale di terze parti, open source e commerciali, componenti software off-the-shelf.
Le organizzazioni hanno bisogno di soluzioni di sicurezza delle applicazioni che coprano tutte le loro applicazioni, da quelle utilizzate internamente alle più diffuse applicazioni esterne utilizzate sui telefoni cellulari dei clienti. Queste soluzioni devono coprire l’intera fase di sviluppo e prevedere dei test a seguito dell’attivazione di un’applicazione per il monitoraggio di potenziali problemi. Le soluzioni di sicurezza delle applicazioni devono essere in grado di testare le applicazioni Web per individuare vulnerabilità potenziali e sfruttabili, avere la capacità di analizzare il codice, aiutare a gestire i processi di gestione della sicurezza e dello sviluppo coordinando gli sforzi e consentendo la collaborazione tra i vari stakeholder. Inoltre, devono offrire test di sicurezza delle applicazioni che siano facili da usare e distribuire.
L’analisi Static Application Security Testing (SAST) scansiona i file sorgente dell’applicazione, identifica accuratamente la causa principale e aiuta a rimediare ai difetti di sicurezza sottostanti.
L’analisi Dynamic Application Security Testing (DAST) simula attacchi controllati su un’applicazione o servizio Web in esecuzione per identificare le vulnerabilità sfruttabili in un ambiente in esecuzione.
L’analisi Software Composition Analysis (SCA) è un processo automatizzato che consente di identificare e tenere traccia dei componenti open source utilizzati nelle applicazioni. Strumenti SCA più solidi possono analizzare tutti i componenti open source per verificare i rischi di protezione, la conformità alle licenze e la qualità del codice.
Le soluzioni di sicurezza delle applicazioni consistono nel software di cybersecurity (gli strumenti) e le pratiche che eseguono il processo per proteggere le applicazioni.
On-premise
Le soluzioni di Application Security Testing possono essere eseguite in locale (in-house), gestite e mantenute da team interni. Questo approccio richiede alle organizzazioni di fornire l’infrastruttura, il personale e di acquisire soluzioni di sicurezza delle applicazioni per il loro utilizzo. On-premise assicura alle organizzazioni che i dati della loro applicazione non vengano condivisi con terzi e non lascino i locali.
SaaS
La sicurezza delle applicazioni come SaaS fornisce soluzioni basate su cloud con un’interfaccia utente basata sul Web, consentendo al cliente di configurare, eseguire e gestire la sicurezza delle applicazioni. Questa opzione richiede comunque alle organizzazioni di fornire il personale e le competenze necessarie per eseguire i vari strumenti di Application Security Testing, ma senza la necessità di fornire infrastruttura, manutenzione, aggiornamenti, ecc.
Servizio gestito
La sicurezza delle applicazioni può anche essere un servizio gestito in cui il cliente consuma i servizi forniti come soluzione turn-key dal fornitore di sicurezza dell’applicazione. Questo approccio non richiede nessuno dei prerequisiti dell’approccio on-premise, ma richiede di affidarsi parzialmente o completamente al fornitore SaaS e, nella maggior parte dei casi, consente di condividere i dati dell’applicazione con il fornitore. La sicurezza delle applicazioni come servizio gestito fornisce un modo semplice per iniziare e può offrire scalabilità e velocità. Le implementazioni ibride (che utilizzano servizi gestiti, on-premise e SaaS insieme in diversi progetti e pratiche) mirano a fornire il meglio di entrambi i mondi, fornendo flessibilità, scalabilità e ottimizzazione dei costi.
Open Web Application Security Project (OWASP) è una comunità di sicurezza delle applicazioni open source con l’obiettivo di migliorare la sicurezza del software. Le linee guida OWASP Top 10 forniscono un elenco dei rischi più critici per la sicurezza delle applicazioni per aiutare gli sviluppatori a proteggere meglio le applicazioni che realizzano e distribuiscono.
Le soluzioni OpenText Application Security offrono gestione e Application Security Testing on-premise, ospitati e as-a-service che possono aiutare le aziende a proteggere le loro applicazioni software, comprese le applicazioni legacy, mobili, di terze parti e open-source.
Le offerte di Fortify includono static code analysis, dynamic application security testing, software composition analysis (SCA) e strumenti interattivi per l’Application Security Testing per fornire protezione del codice per applicazioni Web, API, app mobili, Infrastructure-as-Code, container, e catena di distribuzione del software.
Le soluzioni includono:
Fortify Static Code Analyzer - Static Application Security Testing (SAST): identifica e localizza in anticipo le vulnerabilità di sicurezza nel codice sorgente nel ciclo di vita di sviluppo del software.
Fortify WebInspect - Dynamic application security testing (DAST): simula attacchi alla sicurezza reali su applicazioni in esecuzione per fornire un’analisi completa di servizi e applicazioni Web complessi.
Interactive application security testing (IAST): integrazione tra il nostro test dinamico e l’analisi di runtime per l’identificazione di un numero maggiore di vulnerabilità, attraverso l’ampliamento della copertura della superficie di attacco e l’esposizione agli exploit migliore rispetto al solo test dinamico.
Fortify on Demand - Security as a Service: un modo semplice, facile e veloce per testare applicazioni in modo accurato, senza dover installare o gestire il software o aggiungere altre risorse.
Mobile Security : metodologia del mobile testing che testa tutti e tre i livelli, tra cui client, rete e server.
Fortify Insight : aggregate e analizzate numerose fonti di dati precedentemente separati e isolati, visualizzandoli in un dashboard aziendale per ottenere informazioni utili.
Software Security Assurance : repository di gestione centralizzata che offre visibilità, contribuendo a risolvere le vulnerabilità della sicurezza.
Fortify Software Security Center : repository di gestione centralizzato che offre visibilità di tutto il programma di application security testing. Assegna priorità, gestisce e tiene traccia delle attività di test della sicurezza e offre un quadro accurato dei rischi per la sicurezza software in ambito aziendale.
Che cosa è la cybersicurezza?
Blog: Integrazione - Sicurezza delle applicazioni integrata nelle operazioni software
Blog: Dove la sicurezza delle applicazioni mobili si inserisce nell’esperienza utente
Risorse per la sicurezza informatica SAN
Risorse sulla sicurezza IT di Computer Weekly
Risorse sulla sicurezza di Dark reading
Cos’è DAST
Cos’è la resilienza informatica?
Forrester Wave: Static Application Security Testing
Storie di successo dei clienti Fortify
Cos’è OWASP Top 10?
Scaricate il Gartner Magic Quadrant 2021 per l’Application Security Testing
Video - AppSec 101 – serie YouTube che spiega le basi della sicurezza delle applicazioni.
Whitepaper - Creazione di una catena di distribuzione del software affidabile
Video webinar - Serie di webinar sulla sicurezza del codice
Rapporto - Gartner® Magic Quadrant™ per l’Application Security Testing
Casi di utilizzo - DevSecOps, sicurezza della catena di distribuzione del software, trasformazione cloud, maturità su scala
Principali rischi di sicurezza delle applicazioni Web OWASP Top 10
Rapporto – Rapporto sulle tendenze di AppSec