Emerasoft e Sonatype presentano il webinar gratuito che illustra lo stato dell’arte sulla Software Security… e il tuo Software è sicuro? Contattaci per scoprirlo (sales@emerasoft.com)

1. Software Security Report 2018
Webinar Sonatype, 15 novembre 2018

2. Agenda
❑ Emerasoft Srl
❑ Solutions
❑ Analisi report Marcella Arrabito
Ugo Ciracì
15

3. • Dove siamo: Torino e Roma
• Cosa facciamo: Software Engineering & Digital Adoption
“Il nostro impegno è nella costante ricerca della migliore soluzione per il
cliente, garantendo eccellenza nella qualità di servizi e prodotti proposti. La
nostra promessa è di svolgere il nostro lavoro con costanza e passione”
13
Anni di esperienza
200+
Clienti
500+
Progetti
20+
Certificazioni

4. DevOpsIoT
Testing
CI e CD
SOA Business Intelligence
Security
University
Issue tracking
standard compliance
User Experience Improvement
Agile Business Integration
Enterprise Mobility agile
IoD
OpenSource
APIUsability
traceability
Compliance Management
ITSM

5. Vulnerabilità OSS aumentate
del 120%, ridotto del 95% il
tempo necessario per un
attacco
Database pubblici di
vulnerabilità inattendibili: più
di 1,3M di criticità non censite.
Attacchi conosciuti aumentati
del 55%
: Software Supply Chain

6. Aumento del 55%
degli attacchi ogni
anno.
Riduzione da 45 a 3 giorni per portare un attacco
dalla scoperta di una vulnerabilità.
1 ogni 8 componenti scaricati contiene
vulnerabilità conosciute.
57% delle aziende nella Fortune Global 100 scarica
componenti con vulnerabilità conosciute.

7. Errare è umano, perseverare è diabolico
Equifax ha perso informazioni personali (incluse carte di credito) per
145.5 milioni di americani per un baco di Struts.

8. Attaccare i depositi pubblici
Left-padding: rimuovere componenti
popolari dai repository pubblici
Type-squatting: inserire o modificare
component pubblici che offrono
funzioni utili ma effettuano attacchi
nascosti
Backdooring: costruire componenti
con funzioni utili ma intenzionalmente
bacati.

9. Software assemblato o costruito?
Dall’80% al 90% delle applicazioni
moderne sono costituite da
componenti di terze parti.
Questo implica che lo sviluppo di software diventa in gran parte
assemblaggio di componenti esistenti e lascia una minima parte
alla costruzione di software.

10. Domanda/Offerta
Componenti open-source
Maggiore numero di
ecosistemi e rilasci per
ciascuno di essi.
Domanda esponenziale
di componenti open-
source.
npm è la dimostrazione
della risposta dell’offerta
alla domanda.

11. Distribuzione vulnerabilità / ecosistema
L’istogramma dei CVS
mostra chiaramente
come la probabilità di
trovare componenti
severamente vulnerabili
sia altissima (CVS >= 4)

12. Elevato rischio per i container

13. E in Italia?
Nel grafico la percentuale di componenti
vulnerabili scaricati nel mondo.
Considerando che anche un solo
componente vulnerabile permette un
attacco gravoso ai danni di un’azienda e
dei suoi utenti, la classifica di Sonatype
mostra che le nazioni più virtuose sono in
realtà molto a rischio con più del 10% di
componenti critici.
L’Italia supera il 12%.

14. Reagire alle vulnerabilità
Nel 2021 si prevede
l’industria del
cybercrimine raggiunga i 3
trilioni di $, superando il
mercato della droga.
Cybersecurity Ventures
Impoverimento dei database
pubblici. Difficile stare al passo
con la crescita dei componenti
open-source.
Oltre 1,3M di vulnerabilità non
censita da database pubblici.

15. Automatizzare aiuta

16. Standard di sicurezza

17. Conclusioni
Contattaci per eseguire un application healthcheck
• Security by design
• Automatizzare
• Utilizzare il tool corretto

18. Grazie per averci seguito!
Linkedin: https://www.linkedin.com/company/emerasoft/
Youtube: https://www.youtube.com/user/Emerasoft
Facebook: https://www.facebook.com/emerasoft/
Twitter: https://twitter.com/emerasoft
Scrivi a
sales@emerasoft.com
Visita il nostro sito
emerasoft.com
Socializza con noi:
Chiamaci
011 0120370