CryptoNet Labs: il SOC Applicativo per ridurre il debito di sicurezza nel software

Il software è oggi il motore di ogni servizio digitale, ma anche uno dei principali veicoli di rischio.

Vulnerabilità nel codice proprietario e open source, librerie non aggiornate e pratiche di sviluppo poco sicure alimentano quello che viene definito “debito di sicurezza applicativa”, un accumulo di problemi che può compromettere la resilienza complessiva di un’organizzazione.

Le aziende di servizi digitali e di digital trust si trovano a dover conciliare richieste sempre più stringenti di compliance (GDPR, eIDAS, NIS2, AgID, ACN) con cicli di sviluppo rapidi e pressioni di business.

In questo contesto, CryptoNet Labs ha realizzato per un’importante realtà italiana di Digital Trust Services un programma di Application Security gestita, definito SOC Applicativo, finalista ai Cybersecurity360 Awards.

La sfida: anticipare le vulnerabilità e responsabilizzare i team

L’obiettivo del progetto non era solo individuare vulnerabilità a valle, tramite VAPT periodici, ma spostare i controlli a monte del ciclo di sviluppo, secondo il paradigma dello Shift Security Left. La sfida principale consisteva nell’equilibrare tre fattori:

• l’esigenza di garantire compliance normativa a stakeholder e autorità di vigilanza;
• la necessità di rispettare i tempi di sviluppo e rilascio richiesti dal business;
• la limitata disponibilità di competenze specifiche di sicurezza all’interno dei team di sviluppo.

CryptoNet Labs ha risposto con un modello incrementale e sostenibile, che unisce test dinamici e statici, formazione continua e supervisione diretta degli sviluppatori.

I tre pilastri del SOC applicativo

Il competence center di Application Security di CryptoNet Labs ha costruito il progetto su tre pilastri complementari:

1. Vulnerability Assessment e Penetration Test (VAPT): attività gestite dal laboratorio interno, con focus sugli applicativi in esercizio e sui relativi contenitori infrastrutturali.
2. SAST e SCA tramite Veracode: la piattaforma è stata integrata nelle pipeline di sviluppo CI/CD, con controlli su codice proprietario e open source fin dalle prime fasi.
3. Supervisione e accompagnamento: gli specialisti di CryptoNet hanno affiancato per oltre un anno gli 11 team di sviluppo del cliente, con incontri ricorrenti dedicati all’analisi delle vulnerabilità emerse e alla definizione delle remediation.

A questi elementi si è aggiunto un costante allineamento con la funzione Cybersecurity, owner del progetto, che ha monitorato i progressi tramite KPI di Application Security Governance.

Implementazione e processi di governance

Il progetto ha previsto un setup iniziale di circa un mese, dedicato all’integrazione della piattaforma Veracode con gli strumenti di CI/CD e ticketing esistenti. In questo modo le analisi SAST e SCA sono state inserite direttamente negli stage di rilascio, garantendo automazione e continuità.

Terminata questa fase, sono stati istituiti meeting ricorrenti con i Security Champion di ciascun team di sviluppo: settimanali all’inizio, poi con cadenza quindicinale o mensile, a seconda della maturità raggiunta. Parallelamente, le attività di VAPT sono state pianificate su base annuale, con incontri di coordinamento per allineare test e priorità operative.

Questo approccio ha consentito di trasformare la sicurezza applicativa da attività episodica a processo strutturato, in grado di crescere insieme all’organizzazione.

Benefici concreti per il cliente

In pochi mesi, il cliente ha potuto registrare risultati concreti:

• riduzione del debito di sicurezza applicativa, con eliminazione delle vulnerabilità di maggiore severità;
• responsabilizzazione degli sviluppatori, coinvolti direttamente nella remediation;
• compliance dimostrabile, grazie a report e KPI condivisi con gli stakeholder;
• sinergia tra tecnologia, processi e persone, per un programma di Application Security sostenibile.

Il valore del progetto non risiede solo nella riduzione delle vulnerabilità, ma nella creazione di una cultura diffusa della sicurezza all’interno dei team di sviluppo.

Elementi distintivi e uso dell’AI generativa

Un aspetto distintivo del SOC Applicativo di CryptoNet Labs è l’attenzione alla remediation effettiva. Ogni attività di test diventa utile solo se si traduce in correzione del codice.

Per accelerare questo processo, il progetto ha integrato le funzionalità di Generative AI di Veracode Fix, che suggeriscono allo sviluppatore direttamente sul desktop come riscrivere il codice in modo sicuro.

La combinazione di VAPT, SAST e SCA, per loro natura complementari, ha inoltre permesso di massimizzare lo spettro delle vulnerabilità identificate e di aumentarne l’affidabilità grazie alla convergenza dei risultati.

Innovazione e replicabilità

Il SOC Applicativo dimostra come la sicurezza software possa essere resa scalabile e replicabile. La metodologia, basata su automazione, piattaforme leader di mercato e supervisione diretta, può essere applicata in qualsiasi contesto con sviluppo software strutturato, dalla finanza alla pubblica amministrazione, fino alle telco e alle utility.

Il valore innovativo risiede nell’aver trasformato la sicurezza applicativa da obbligo a processo di governance, in cui i team di sviluppo diventano attori centrali e consapevoli.

Questo approccio consente alle aziende di ridurre il rischio, accelerare i rilasci e rispondere più rapidamente alle pressioni normative.

Verso una application security sostenibile

Il progetto realizzato da CryptoNet Labs mostra come sia possibile abbattere il debito di sicurezza applicativa in maniera concreta, senza rallentare i processi di business.

L’unione di VAPT, SAST, SCA e AI generativa, insieme al coinvolgimento diretto dei team di sviluppo, rappresenta un modello efficace per rafforzare la resilienza digitale.

La candidatura ai Cybersecurity360 Awards conferma l’importanza di un approccio che porta la sicurezza nel cuore dello sviluppo software, coniugando compliance, innovazione e sostenibilità.