Cloud e intelligenza artificiale mettono alla prova la sicurezza del software. Con il progresso esponenziale della tecnologia, infatti, si aprono una serie di nuovi rischi che richiedono alle aziende di farsi trovare pronte: parliamo ad esempio dallo sviluppo di codice vulnerabile realizzato ricorrendo all’intelligenza artificiale, o dell’ampliamento delle superfici di attacco dovuto al cloud. A illustrare quali saranno le tendenze principali in questo campo nel corso del 2025 è Brian Roche, ceo di Veracode, società multinazionale specializzata nella sicurezza delle applicazioni, puntando nella sua analisi a evidenziare come sarà possibile cogliere gli aspetti positivi dei cambiamenti in atto, facendo in modo che non diventino ostacoli all’innovazione. Nella sua analisi Roche sottolinea “la necessità per ogni azienda di rimanere vigile e proattiva nelle proprie iniziative di sicurezza”.
L’importanza del contesto
Rispetto alla diffusione sempre più ampia del cloud, secondo l’analisi di Roche sarà fondamentale per le aziende definire con il massimo della precisione il contesto, per individuare quali sono i rischi, qual è la probabilità che una minaccia si verifichi e quali sarebbero le conseguenze di un attacco. “Responsabili della sicurezza e consiglio di amministrazione dovranno parlare la stessa lingua per interpretare il rischio in modo coerente – spiega l’esperto – Per questo, non serve avere una grande quantità di dati disgiunti che non rispondono alle domande indicate, ma è fondamentale concentrare le energie sulla creazione di un contesto attraverso una soluzione ottimizzata di Application security posture management (Aspm), che permetta di ridurre la maggior parte dei rischi con il minimo sforzo”.
La sicurezza dei modelli di intelligenza artificiale
L’utilizzo crescente dell’intelligenza artificiale nello sviluppo di codice, secondo Roche, porta con sé diverse preoccupazioni sulla sicurezza, a partire dal cosiddetto “garbage in, garbage out”. “Se i dati utilizzati per addestrare i modelli di AI sono errati o distorti, anche le decisioni e le azioni risultanti saranno inesatte e potenzialmente dannose”, argomenta, aggiungendo che “con ogni probabilità nel corso dell’anno vedremo i modelli più grandi diventare sempre meno sicuri. Nella quinta rivoluzione industriale che stiamo vivendo, l’AI determinerà più rischi per il software rispetto a quanto ci si aspetti”.
I report in tempo reale
Nel campo del cloud e del software open source sarà fondamentale “che le aziende abbiano visibilità in tempo reale sullo stato di ciò che stanno utilizzando – sottolinea Roche – È necessario avere sempre il polso della situazione, anche se non è facile riuscirci”. Le soluzioni per la verifica della sicurezza applicativa che si basano esclusivamente sul National Vulnerability Database statunitense non dispongono più di un quadro completo della situazione – argomenta Roche – rendendo ancor più lungimirante la scelta di rivolgersi a player specializzati che garantiscano un costante aggiornamento delle falle”.
Compliance sempre più stringente
Che si tratti del Digital Operationa Resilience Act o della legge sulla responsabilità civile, le best practice di sicurezza del software saranno sempre più importanti: “Nel corso di questo 2025 – spiega il Ceo di Veracode – continueremo a osservare normative e requisiti di conformità diventare più severi e specifici legati alla gestione del rischio a livello applicativo, e anche una maggiore regolamentazione specifica dell’AI, per il suo esponenziale utilizzo”.
Le responsabilità degli sviluppatori
In un quadro così complesso gli sviluppatori non saranno più solo creatori di codice, ma diventeranno responsabili e orchestratori di tecnologie, a garanzia dell’integrità della sicurezza delle loro applicazioni. “Fornire ai programmatori il supporto dell’intelligenza artificiale per correggere immediatamente le vulnerabilità, prima ancora che il codice entri in produzione, rivoluzionerà il ruolo degli sviluppatori nella protezione dei loro prodotti e della loro operatività quotidiana – spiega Roche – Scansioni e test diventeranno sempre più vitali, richiedendo già un certo livello di automazione. Se l’AI aiuta a correggere le vulnerabilità, si potrà alleviare la pressione sugli sviluppatori, lasciando loro spazio per risolvere i problemi in modo più efficace”.
