È l’Application Security Testing il dominio di intervento delle soluzioni di Veracode, vendor americano nato nel 2006 e con una presenza in Italia, offerte da sempre in modalità SaaS. ”È una modalità che ci ha permesso di costruire un’importante knowledge base, frutto dei dati raccolti lavorando su 3.000 clienti nel mondo con la nostra piattaforma basata su cloud. Clienti che in Italia appartengono a vari settori verticali: banche, servizi, utility, oil and gas, gaming, manufacturing…”, spiega Massimo Tripodi, Country Manager Italia. Dati che hanno contribuito al report State of Software Security 2024 che indica i trend e le problematiche presenti in ambito sviluppo software.
“La tendenza principale è questa: il 70,8% delle organizzazioni ha un debito di sicurezza, ossia vulnerabilità che, indipendentemente dal loro stato, rimangono non risolte per oltre 12 mesi. Debito che, a causa di falle persistenti di elevata gravità, nel 45,9% dei casi è di natura critica.” E ancora, se nel 90% dei casi il debito di sicurezza riguarda applicazioni sviluppate internamente quello critico è per il 65% relativo a codice terze parti presente in librerie open source. Ecco che lo studio mostra che, risolvendo più rapidamente le falle, si abbassa di quattro volte la possibilità che si manifesti appunto un debito di sicurezza critico.
Analizzare il codice
“Tenendo conto di questi dati vediamo come si può intervenire. Attraverso la Software Composition Analysis (SCA) è ad esempio possibile scansionare il codice – quindi anche componenti e librerie – individuare le vulnerabilità e correggere le falle. Se le chiamate sono su terze parti può essere suggerita la sostituzione di una versione aggiornata in cui la la vulnerabilità è stata risolta”, prosegue Tripodi aggiungendo che la piattaforma, con alla base una serie di servizi che ingegnerizzano l’intero processo di gestione della sicurezza applicativa, prevede diverse tipologie di scanning così come un processo di remediation che si serve dell’intelligenza artificiale generativa. “Questa opportunità sfrutta un algoritmo GPT addestrato sulla nostra knowledge base. Di fatto il sistema recepisce la vulnerabilità, comprende il contesto e produce automaticamente la correzione”, spiega Tripodi. Veracode offre inoltre uno strumento integrato che guida i percorsi di apprendimento degli sviluppatori perché scrivano codice privo di vulnerabilità.
“L’analisi della sicurezza delle applicazioni deve essere qualcosa di strutturale. Oggi viene approcciato in modo diverso. Alcune realtà, ad esempio quelle americane, hanno una struttura di processi molto più attenta e precisa laddove altrove è un elemento di frontiera, come in Italia. A parte eccezioni spinte anche dai regolamenti, come nel caso delle banche con DORA che introduce un principio di resilienza”, conclude Tripodi.
Continua a leggere
Articoli correlati
Epson presenta due nuovi scanner di rete A3
I nuovi WorkForce DS-51000WN e WorkForce DS-71000WN sono progettati per supportare la digitalizzazione dei processi documentali negli ambienti professionali
PwC, l’AI sta ridisegnando ridisegnando la struttura dell’occupazione
Secondo l'AI Jobs Barometer 2026 di PwC, crescono sia i ruoli specializzati in cui l’AI automatizza le attività ripetitive sia le professioni 'democratizzate' in cui la tecnologia rende le attività accessibili a risorse con meno esperienza
Rubrik AI, la nuova piattaforma Rubrik dall’approccio “agentic-first”
Con questa piattaforma il vendor punta a trasformare la gestione della cyber resilienza introducendo sistemi capaci non solo di supportare gli operatori, ma anche di ragionare e agire in autonomia
Fincons Group ed Expert.ai, insieme per la neuro-symbolic AI
Le due aziende hanno consolidato la partnership per portare la neuro-symbolic AI nel mercato enterprise, abilitando nuova intelligenza e livelli più elevati di efficienza
MILANO, 23 Giugno 2026 dalle 09:00 alle 17:30
Milano