{PR}
PA Reviewer
Cloud Reviewer
Accedi
Cloud Reviewer — Portale PA

Sicurezza del Software per la Pubblica Amministrazione

Analisi integrata SAST, DAST, SCA, MAST e Vulnerability Management per la PA italiana.

Accedi al Portale

Contesto

La difesa da attacchi hacker non può essere vista solo come difesa perimetrale (infrastrutturale), per due motivi:

  • Le infrastrutture di protezione possono essere violate poiché a loro volta possono presentare vulnerabilità sfruttabili, magari ancora non note, o possono essere «fuori servizio» per vari motivi.
  • L'attacco può venire dall'interno, da fornitori, collaboratori o dipendenti malevoli, insoddisfatti o semplicemente disattenti o superficiali.

Le aziende Italiane sono nel mirino sia di hacker che di governi malevoli:

Nel 2025-2026, l'Italia è tra i paesi più colpiti al mondo dai cyberattacchi, con oltre 2.300 incidenti settimanali (+18% sulla media globale). Vedi rapporto Clusit 2026.

È fondamentale, quindi, proteggere in prima battuta il software, attuando opportune strategie di analisi (Code Review) Statica (SAST) e Dinamica (DAST) delle applicazioni, anche quelle Mobile (MAST) e delle loro componenti (SCA), in modo tale che la sicurezza sia gestita fin dalle prime fasi di sviluppo (Security by Design).

Da tempo molte applicazioni vengono realizzate includendo software di terze parti o generato da AI. In questa situazione la probabilità di avere vulnerabilità importanti nel software è molto alta.

<function() {return secure;}// SAST verified

Code Review

La code review non è un obbligo di legge universale, ma diventa mandatoria o fortemente raccomandata per la conformità a standard internazionali di sicurezza e qualità, in particolare:

  • ISO/IEC 27001. L'Annex A 8.28 della norma ISO 27001:2022 richiede che la sicurezza sia integrata nel processo di sviluppo software. La code review è considerata una pratica fondamentale per identificare vulnerabilità prima che il software vada in produzione.
  • Contesto Regolamentato: Nelle aziende che gestiscono dati sensibili o in settori critici, la code review viene utilizzata come misura di Compliance as Code per superare gli audit.
  • Software Sicuro (AgID): Le linee guida per lo sviluppo di software sicuro raccomandano la code review come ultimo step della fase di implementazione.
  • Secondo il Codice dell'Amministrazione Digitale (CAD), la PA deve mantenere la documentazione tecnica aggiornata relativa ai requisiti di sicurezza del software e favorire il riuso del codice tra amministrazioni, assicurandosi che il codice rilasciato in open source sia privo di vulnerabilità critiche.
  • ISO/IEC TR 20004:2015 — Riguarda le Tecnologie dell'informazione, tecniche di sicurezza e sviluppo di software sicuro.
  • Qualità (ISO 9001): Sebbene più generica, la ISO 9001 richiede il controllo dei processi, e la code review è una delle best practice per garantire la qualità del codice.

La maggior parte delle PA ha già un processo di code review avviato, spesso demandato a uno o più fornitori, rendendo difficile la confrontabilità dei risultati. Sarebbe necessario un set di strumenti coerenti ed integrati per le varie tipologie di analisi delle applicazioni.

Software Composition Analysis

È un processo automatizzato che identifica, monitora e gestisce i componenti open source e di terze parti all'interno di un'applicazione. Serve a individuare vulnerabilità di sicurezza (CVE), gestire la conformità delle licenze e generare un SBOM (Software Bill of Materials). Punti chiave:

  • Identificazione: Analizza gli script, i binari, i file di build e i gestori di pacchetti per mappare tutte le dipendenze dirette e transitive.
  • Sicurezza: Controlla le librerie open source rispetto ai database di vulnerabilità (NVD e altri).
  • Conformità Legale: Identifica le licenze associate ai componenti, segnalando potenziali rischi legali.
  • Automazione: Si integra nelle pipeline CI/CD per rilevare rischi durante lo sviluppo, prima della produzione.

Oltre il 70% del codice non viene più scritto direttamente dagli sviluppatori di progetto, ma si fa ampio uso di script, librerie, componenti e framework di terze parti o generate con AI. Il progetto può sviluppare in modo sicuro, ma deve tenere conto anche della sicurezza delle terze parti (Supply Chain & AI Security).

Due fattori molto importanti non vanno trascurati: le dipendenze da componenti obsoleti o abbandonati dalla community, e la compatibilità delle licenze. È perciò importante dotarsi di un tool unificato che verifichi sicurezza, obsolescenza, contribuzione attiva e compatibilità delle licenze.

Security by Design

Ogni azienda, e soprattutto le Pubbliche Amministrazioni, dovrebbero avere un budget dedicato alla sicurezza dei sistemi e delle applicazioni, progettandoli in modo tale che la sicurezza sia gestita fin dall'inizio dei vari progetti.

Nella realtà, molte applicazioni largamente usate sono state scritte prima delle nuove normative e prima che le minacce hacker fossero così diffuse e frequenti.

Anche applicazioni molto recenti, vuoi per la velocità richiesta per essere presenti sul mercato, vuoi per esigenze di budget, implementano solo minimi requisiti di sicurezza, lasciando ampi margini per attacchi.

Le Pubbliche Amministrazioni hanno inevitabilmente procedure lunghe per l'approvazione dei budget. La fiducia del cittadino in una PA sarà tanto maggiore quanto più la PA saprà dimostrare di essere sicura e di tenere protetti i dati che il cittadino considera sensibili.

Si pensi, a titolo di esempio, alla recente messa in produzione del Fascicolo Sanitario Elettronico: una applicazione di grande utilità per il cittadino, dove accedono medici, ospedali, laboratori di analisi convenzionati e specialisti. Il cittadino vorrà avere garanzie che i suoi dati sanitari siano al sicuro.

La Soluzione

La proposta è la fruizione di questo portale che mette a disposizione una serie di strumenti integrati per l'analisi di sicurezza delle applicazioni, che consenta a una PA di:

  • Utilizzare lo strumento di cui ha più bisogno in un dato momento, senza il vincolo di dover acquistare una intera suite.
  • Acquistare lo strumento necessario solo per il tempo di cui ne ha bisogno (formula di abbonamento: 6 mesi / 1 anno).
  • Poter utilizzare lo strumento dalla sede che in un dato momento è titolare di un progetto (disponibilità in cloud, con le ovvie garanzie di sicurezza e riservatezza).

Cloud Reviewer è una suite di strumenti in grado di eseguire:

Analisi statica (SAST)
Analisi dinamica (DAST)
Software Composition Analysis (SCA)
Software Resilience Analysis (SRA)
Mobile Analysis (MAST)
Quality Analysis
Vulnerability Management

Nella configurazione completa, il costo del prodotto rimane sotto la soglia comunitaria.

Powered by

Cloud {Reviewer}