Coinbase ha caricato su GitHub il codice del proprio strumento di scansione automatica.
Read this article in the English version here.
Lo strumento si chiama Salus, dal nome della dea romana della protezione, ed è in grado di eseguire e configurare automaticamente diversi scanner di sicurezza per poi emettere un report.
Tra i vantaggi offerti da questi strumenti c’è la possibilità di coordinare centralmente gli sforzi di scansione in molte repository. Di solito, gli amministratori devono configurare uno scanner separatamente per ogni archivio. Anche l’aggiornamento della configurazione degli scanner può essere fatto a livello centrale, una volta per ogni configurazione.
Un tale strumento è un grande risparmio di tempo per gli amministratori che stanno cercando di implementare modifiche a livello di sistema. Inoltre, la minore pressione esercitata dai compiti ripetitivi sui professionisti della sicurezza riduce il rischio di errori, migliorando così la sicurezza. Da un post sul blog di Coinbase si legge:
“In Coinbase, usiamo una combinazione di revisioni del codice fatte da persone e scansioni automatiche per garantire che tutte le nostre implementazioni di produzione siano il più sicure possibile – e quando non esistono gli strumenti giusti per aiutarci a fare il lavoro di cui abbiamo bisogno, li sviluppiamo”.
Il vantaggio dell’open source
Il software di open sourcing può sembrare controintuitivo a persone che non hanno familiarità con la tecnologia e l’industria del software.
Perché distribuire qualcosa gratuitamente se ci può far pagare?
Ci sono molti vantaggi nel rendere un software open source, e open sourcing non significa dare via gratuitamente (ma nella maggior parte dei casi le persone fanno entrambi o nessuno dei due). Open sourcing significa garantire alle persone l’accesso al codice del software che, nel caso di applicazioni orientate alla sicurezza, è particolarmente vantaggioso.
Se il codice è open source, molti hacker, altre aziende, e la community in generale possono dare un’occhiata al codice. Solitamente, un tale approccio scopre i difetti del codice in modo molto più efficace che avere un team di dipendenti dell’azienda che analizza il codice alla ricerca di bug e vulnerabilità.
