Software Composition Analysis: come identificare i rischi legati all’utilizzo di componenti Open Source con CAST Highlight

By on
 

 

Per avere una visione completa dei rischi legati ad un’applicazione software open-source-safetysviluppata in azienda o mantenuta da fornitori esterni, è importante che venga effettuata un’analisi di tutte le componenti di terze parti utilizzate dall’applicazione.

La funzionalità di Open Source Safety, inclusa in CAST Highlight, rileva automaticamente tutti i framework open source e i componenti di terze parti da una knowledge base proprietaria di oltre 100 milioni di componenti.

CAST Highlight utilizza l'esclusivo punteggio di sicurezza “Open Source Safety score” per prioritizzare le applicazioni in base all’effort di remediation su interi portafogli e permette di concentrarsi prima sulle applicazioni più critiche per l'azienda.

CAST Highlight fornisce anche indicazioni sulle azioni da intraprendere per ridurre le vulnerabilità e i rischi operativi o legati alle licenze d’uso delle componenti.

Picture2-1

Scansionando l’applicazione con CAST Highlight, vengono rilevate automaticamente tutte le CVE (Common Vulnerabilities & Exposures) pesate in termini di gravità e di impatto sul business, sia a livello di singola applicazione che di intero portafoglio.

CAST Highlight rileva inoltre tutte le licenze necessarie per l’uso delle componenti individuate permettendo di anticipare ed evitare possibili problemi legali. È possibile anche personalizzare la politica sull’utilizzo delle licenze per soddisfare le esigenze specifiche dell’organizzazione.

Rilevando tutti i componenti di terze parti e le relative versioni (fornendo il cosiddetto BOM o Bill Of Material dell’applicazione), CAST Highlight segnala anche l’obsolescenza delle componenti utilizzate ed indica quali applicazioni usano le componenti più vecchie e richiedono aggiornamenti più urgenti, dando consigli sulle componenti più sicure da utilizzare.

Picture3

Come individuare i componenti Open Source?

La modalità di individuazione di una componente durante la scansione può essere di 3 tipi:

  • Per fingerprint (Individuazione di file all’interno dell’applicazione riconosciuti come appartenenti a una determinata componente censita sulla knowledge base, grazie ad un codice univoco identificativo generato in base alle sue caratteristiche intrinseche).
  • Per reference (individuazione di riferimenti ai package delle componenti di terze parti all’interno dei file sorgenti, di configurazione o di progetto dell’applicazione).
  • Per dependency (vengono individuate anche le componenti che sono referenziate a cascata da altre componenti open source).

Picture4

L’analisi delle dipendenze su applicazioni complesse che utilizzano numerose componenti è facilitata, grazie a specifici strumenti come OSS Dependency Explorer, che permettono di visualizzare le dipendenze e di navigare nelle componenti dell’applicazione.

Picture5

Tutti i risultati prodotti sono fruibili dal portale web di CAST Highlight, che è fornito e può essere sottoscritto come servizio SaaS. Tutti i contenuti del portale sono anche scaricabili come report in formato Excel o PowerPoint.

CAST Highlight fornisce anche altre soluzioni per la Rapid Portfolio Analysis, tra cui Cloud Readiness (Roadblocks & Boosters detection), Software Health (Resiliency & Agility), Private Data Detection (GDPR & PII Patterns).

CAST Highlight fornisce inoltre delle Rest API per garantire l’automazione delle scansioni e l’integrazione con gli strumenti di ALM più diffusi nelle organizzazioni.