La soluzione CAST Imaging offre la possibilità di effettuare assessment applicativi end to end, con centralizzazione dell’analisi su un'unica piattaforma.
L’architettura applicativa è rappresentata graficamente con un approccio full-stack
e organizzata automaticamente su 5 layer, con vari livelli di astrazione, navigabili in modalità top-down e bottom up dal livello di astrazione più alto (servizio) sino al livello più basso (oggetto) 
Le tecnologie analizzabili sono più di 50, con configurazione dinamica dei parser, trasparente all’utente, che copre gli ambiti cloud, web, mainframe, mobile, framework, database. La rappresentazione è comunque personalizzabile per aderire alle prospettive proprie delle mappe applicative in uso dalle varie organizzazioni. La customizzazione avviene mediante associazione di TAG agendo sulla base dati ove le informazioni delle applicazioni scansionate sono memorizzate. E possibile quindi alimentare le mappe applicative integrando Imaging con i sistemi esterni utilizzando le modalità più opportune.
All’interno della singola applicazione è possibile esplicitare le relazioni fra le varie componenti e ricavare informazioni circa gli oggetti non utilizzati, sino al dettaglio del singolo metodo di una classe, o una colonna di una tabella della base dati. Qui di seguito un esempio di analisi circa l’identificazione delle relazioni a livello di Database con dettaglio sino alla riga di codice.
E’ disponibile anche la funzionalità app-to-app per evidenziare le relazioni presenti fra applicazioni differenti che siano legate alla base dati comuni, o instaurate tramite servizi esposti e richiamati.
In relazione all’analisi di rischio e costo lo standard di riferimento è l’ISO 5055, inerente agli ambiti di sicurezza, affidabilità, manutenabilità, ed efficienza.
Facendo riferimento alla dashboard Health, si può partire da dati aggregati, con percentuali di compliance espresse per ogni tematica (ricordiamo che la compliance è raggiunta se e solo se l’indicatore raggiunge il valore 100)
È possibile ottenere il dettaglio a livello di Criteri Tecnici, su base CWE, Common Weakness Enumeration, con specifici gradi di compliance ed indagare sino alla riga di codice ove la violazione è presente.
In aggiunta, in relazione al tema sicurezza, è possibile eseguire l’analisi di dettaglio basata su benchmark OWASP Top 10 2021. Qui di seguito la relativa dashboard di overview, con riferimento specifico alla normativa citata.
Le declinazioni degli aspetti di sicurezza considerati dalla OWASP Top 10 2021 sono indicate nella dashboard di dettaglio
Anche in questo caso è possibile arrivare alla riga di codice ove la violazione è presente.
Riguardo all’analisi del software di terze parti è possibile ottenere una visione grafica Imaging con link diretto agli insigths calcolati dalla componente CAST HighLight
CAST Highlight consolida uno dei più grandi database sui componenti software, con miliardi di firme (fingerprint) calcolate per ogni versione di componenti open-source e di terze parti. Sulla base di questo database unico, Highlight confronta la fingerprint dei file dell'applicazione e aggrega informazioni su componenti, versione, licenza e data di rilascio sia a livello di portfolio che di applicazione. Tramite la scansione del codice applicativo la soluzione CAST realizza la cosiddetta Third Party Software Bill Of Material che consente di ottenere tre deliverable di grande importanza:
- L’elenco delle Vulnerabilità di tipo critico
- Rischi connessi alle licenze del software di terze parti
- Rischi legati all’obsolescenza
Facendo riferimento alle viste proprie della soluzione Highlight, è possibile avere informazioni aggregate in termini di livello di rischio legato alle licenze e alle vulnerabilità note
E possibile tramite drill down scendere in dettaglio sulle singole componenti di rischio con riferimento diretto al dizionario di vulnerabilità e falle di sicurezza CVE (Common Vulnerabilities and Exposures, oggetto mentenuto dalla MITRE Corporation e finanzato dalla National Cybersecurity FFRDC del Dipartimento della Sicurezza interna degli Stati Uniti https://cve.mitre.org/). Inoltre sono indicate esplicitamente, componente per componente le relative, già citate, CWE.
Riguardo ai rischi legati all’aspetto licensing, sempre utilizzando il drill down, vengono esplicitamente indicate le componenti affette, e definita una classifica di rischio, come da immagine seguente
Con disponibilità di ulteriore dettaglio
Riguardo all’obsolescenza delle componenti è possibile ottenere report del tipo indicato qui di seguito
dove oltre al dato dell’obsolescenza si aggiunge anche quello delle versioni dello specifico componente rilasciate nell’ultimo anno, che possono essere di aiuto per comprendere il reale stato manutentivo del componente in esame.
CAST Imaging offre la possibilità di analizzare una applicazione dal punto di vista architetturale, in termini di relazioni fra le parti componenti e le relazioni con entità esterne con la possibilità di poter navigare tra i vari livelli di astrazione, sino alla riga di codice, potendo adottare rappresentazioni custom aderenti alle mappe applicative in uso nelle organizzazioni. Contemporaneamente è possibile avere una prospettiva sui KPI di rischio e di costo, basati su normative internazionali (ISO 5055-OWASP Top10 2021), avendo anche qui la possibilità di scendere nel dettaglio sino alla riga di codice ove le eventuali violazioni insistono. L’indagine è estendibile alle componenti delle terze parti, valutate sotto i punti di vista caratteristici di queste librerie (licensing, obsolescenza e rischi noti di sicurezza).
Comments: