Un livello efficace di sicurezza applicativa si misura dalla capacità di valutare lo stato delle applicazioni durante tutto il ciclo di vita del software – non soltanto nella fase di sviluppo ma fino alla produzione. Per quale motivo? Avendo anticipato i principi della sicurezza fino a incorporarli nel processo di sviluppo (shift left), verrebbe da chiedersi quale sia il bisogno di riportare la sicurezza anche nella fase di produzione.
La risposta, senza mezzi termini, è che purtroppo nessuno è perfetto e che i malintenzionati sono sempre in agguato. Di fronte ai ritmi incessanti degli odierni processi di sviluppo sarebbe sciocco pensare di essere riusciti a individuare e correggere tutti i difetti prima che l’applicazione passasse in produzione; esattamente come sarebbe superficiale presumere che i cybercriminali si stanchino di inventare sempre nuovi modi per ‘craccare’ il codice.
La scansione dinamica delle app al momento del runtime consente di isolare problemi e vulnerabilità che non sarebbero assolutamente individuabili con una semplice analisi statica. La scansione delle applicazioni in produzione con l’analisi dinamica è quindi un elemento cruciale di qualsiasi programma di Application Security che ambisca a essere efficace.
Bhavna Sarathy Principal Product Manager for the CA Veracode Web Application Scanning product line