Paolo Perego bio photo

Paolo Perego

Specialista di application security italiano. 37 anni, milanese, papà, praticante di Taekwon-do ITF, chitarrista e blogger.

Twitter Facebook Github

Se il grande mangia il piccolo

HP lo scorso 17 Agosto ha comprato Fortify,
leader di mercato nel campo dei tool di code review commerciali.

Ora, a contendersi la torta della code review (diciamo la grande torta
perché poi ci sono un po' di player minori tra cui armoredcode.com nel prossimo
futuro), sono rimaste HP ed IBM.

Provo a fare un po' di considerazioni anche se un mese di mare può
aver annebbiato le mie facoltà mentali (datemi ancora qualche giorno
di adattamento).

Il mercato dell'analisi ibrida del codice (penetration test e code
review insieme) non è in crisi, altrimenti né HP né IBM avrebbero
investito soldi nel comprarsi SPI Dynamics + Fortify e Watchfire +
Ounce rispettivamente.

Il mercato dell'analisi ibrida del codice è florido nel mondo, tranne
che in Italia dove player software al momento non ce ne sono. Però
vabbé, qui in Italia player software ce ne sono purtroppo pochi in
ogni campo.

Per le società di consulenza, almeno il panorama nostrano
quest'acquisizione come sposta gli equilibri? Bhé sia IBM che HP hanno
una notevole forza a livello di consulenza qui in Italia ed il fatto
di avere in casa sia il software che i servizi professionali è un plus
non indifferente. Società di consulenza terze, penso ad Accenture,
Reply, Value Team & C, come possono contrastare questo? Sinceramente
credo che con questa mossa IBM e HP abbiano lasciato poco spazio nel
campo dell'analisi ibrida alle società di consulenza pura a meno che
non recitino il ruolo di servizi professionali a basso costo, sub
contractors o chiamatelo come volete. Di sicuro, chi ci guadagna è HP
e IBM. Un plauso a loro che hanno fatto una mossa commerciale così
importante.

Dal punto di vista tecnologico, questo scenario fa capire come si sia
superato il limite del penetration test e della code review come
servizi a se stanti.
L'analisi ibrida è come vedere il problema "sicurezza
dell'applicazione" nella sua interezza.
Sicuramente un tool in grado di integrare code review e penetration
test dovrebbe in teoria offrire il miglior rapporto findings/noise e
dare un vero indicatore del livello di sicurezza di un'applicazione.
Dico "dovrebbe" perché almeno per quello che riguarda AppScan io ho
visto solo una integrazione lenta e difficile con Ounce e la qualità
dell'output del tool non è che mi fosse di molta utilità... troppo
rumore... troppi falsi positivi.
Staremo a vedere perché credo che sia incominciata una bella guerra...

Ah, bentornati.


comments powered by Disqus