Meterian e’ una azienda cyber-security focalizzata nel APPSEC (Application Security) e specificamente nella SCA (Software Composition Analysis). Ci occupiamo di analisi e compliance su progetti software per ciò che riguarda le parti opensource: dato un progetto ne identifichiamo tutte le componenti, controlliamo che non siano vulnerabili, che siano aggiornate, e che usino una licenza business friendly. Alcuni esempi live di analisi sono anche disponibili sul nostro sito web. 

Abbiamo uno scanner online per siti web che può fornire un esempio pratico di quello che facciamo. Ovviamente questa e’ una scansione di superficie, realizzata con limiti di tempo e scope.

Noi riteniamo questo problema particolarmente pressante. Come sicuramente sapete, nel moderno ciclo di sviluppo software infatti vengono ormai utilizzati un gran numero di componenti esterni, sia per accelerare il time to market sia per evitare di spendere denaro nel riscrivere funzionalità di base già disponibili nella comunità opensource. Questo porta ad avere applicazioni che, quando rilasciate, sono composte fino all’80% di componenti esterni e contengono solo un mero 20% di codice scritto dal team di sviluppo.(approfondimento qui in italiano)

Questo 80% costituisce ovviamente una vasta superficie di attacco, specialmente dal momento che questi componenti sono continuamente aggiornati per risolvere malfunzionamenti, fornire nuove funzionalità, e risolvere vulnerabilita’ note. Cosa può succedere quindi? Nel 2017, ad esempio, Equifax, una delle tre maggiori agenzie di credit rating USA, e’ stata compromessa sfruttando una vulnerabilità nota di un componente lato server, Struts2: hackers sono stati in grado, inviando un semplice messaggio maligno, di avere accesso al database centrale di Equifax e scaricare tutte le informazioni di tutti gli utenti, circa 150 milioni, uno dei più grossi data breach della storia. (approfondimento qui in italiano e in inglese). Lo stesso exploit e’ poi stato ripetuto numerose altre volte, con successo.

Esiste poi anche un problema di compliance nel rispetto delle licenze usate per questi componenti opensource. Alcuni componenti, infatti, sono rilasciati con licenze “infettive” che possono richiedere all’utente di rilasciare anche il proprio software in opensource, che e’ quanto successo recentemente a Tesla e BMW, costrette a rilasciare in opensource parte del loro software, proprio a parte di una licenza di un componente esterno. (approfondimento qui in inglese)

Meterian può essere usato direttamente dagli sviluppatori sui propri progetti o può essere integrato con facilita’  in un Continuous Integration System per riportare con tempestivita’ qualunque componente vulnerabile, obsoleto, o che non rispetti la compliance in relazione al licensing. Dato un progetto il nostro scan produce un report che dettaglia qualunque componente problematico e riporta la completa Bill Of Materials dell’applicazione. Alcuni esempi live sono disponibili sul nostro sito web.

Vi invitiamo a provare ad analizzare il vostro sito web con il nostro online web scanner e, se i vostri team hanno progetti pubblici si Github o Bitbucket, ad analizzarli usando il nostro online project scanner.

(indice dei contenuti in italiano)