DevSecOps

La nostra pipeline
di sviluppo sicura

Integriamo la sicurezza delle applicazioni e dell'infrastruttura
nell'intero ciclo di sviluppo

SAST
Static Application
Security Testing

Rileviamo la vulnerabilità di un'applicazione analizzando il codice sorgente, il codice bytecode o il codice binario durante tutte le fasi di sviluppo

DAST
Dynamic Application
Security Testing

Analizziamo in modo dinamico il funzionamento delle applicazioni sia durante le fasi di test che durante le fasi operative. L'attività prevede simulazioni di attacchi contro l'applicazione

IAST
Interactive Application
Security Testing

Combiniamo elementi del SAST e del DAST contemporaneamente.
In genere viene implementata come agente nel momento in cui un'applicazione viene eseguita in fase di test

MAST
Mobile Application
Security Testing

Eseguiamo analisi SAST, DAST, IAST e/o comportamentali su codice byte o binario per identificare le vulnerabilità nelle applicazioni mobile

pattern-lines
wave-down
Analisi

Prima di cominciare lo sviluppo della tua applicazione ne analizziamo tutte le componenti per adottare la migliore strategia di sicurezza possibile

Strategia

In caso di attacco è importante mettere in atto procedure di ripristino e messa in sicurezza dei dati, attività che pianifichiamo sin dal principio

Crittografia

Utilizziamo le migliori tecniche di crittografia per proteggere i dati sul database, in transito tra il client e il server e anche nelle variabili del nostro codice

Rilascio

Per ogni rilascio abbiamo una procedura automatica che esegue i test di sicurezza della tua applicazione, che pubblichiamo solo in caso di esito positivo

Applicazioni sempre sicure

Tutte le componenti della tua applicazione vengono sviluppate, rilasciate, monitorate ed aggiornate continuamente, per garantire la copertura alle vulnerabilità più recenti.

La sicurezza non è più una feature, ma fondamento della nostra vita digitale, e per questo motivo ci aggiorniamo continuamente su nuove tecniche, tecnologie e tools che il mercato mette a disposizione.

wave-up

Backup dei dati

continuo ed automatico

Per le applicazioni che sviluppiamo, e che rilasciamo sulla nostra infrastruttura, configuriamo dal principio le procedure di backup automatiche e continue sia per i dati che per i files.

Inoltre, configuriamo l'infrastruttura di rete per limitare l'accesso solo ad alcuni indirizzi IP (es: nel caso di API o Microservizi abilitiamo solo gli IP del servizio specifico), monitoriamo l'applicazione nel primo periodo per "normalizzare" il suo comportamento e sulla base del quale configuriamo degli alert attivi che ci avvisano nel caso di comportamenti anomali.

Backup continui

Sia il database che i files sono soggetti ad un backup continuo ed incrementale, consentendoci così di ripristinare i servizi alla versione più recente

Replica geografica

Per i database configuriamo una replica geografica che ci consente di avere un "Failover" nel caso in cui il database principale risultasse irragiungibile o compromesso

Protezione della rete

Sull'infrastruttura implementiamo restrizioni basate su IP, firewall e monitoraggio attivo con relativi alert in caso di comportamenti anomali nel traffico di rete o nell'utilizzo dell'applicazione

National Vulnerability Database

Le ultime 20 vulnerabilità

L'NVD è il repository del governo USA che gestisce i dati relativi alle vulnerabilità software e hardware

CVE-2023-43305

An issue in studio kent mini-app on Line v13.6.1 allows attackers to send crafted malicious notifications via leakage of the channel access token.

Pubblicata Friday, December 8, 2023 alle ore 3:15:00 AM


8.2 HIGH

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-38712

An issue was discovered in Libreswan 3.x and 4.x before 4.12. When an IKEv1 ISAKMP SA Informational Exchange packet contains a Delete/Notify payload followed by further Notifies that act on the ISAKMP SA, such as a duplicated Delete/Notify message, a NULL pointer dereference on the deleted state causes the pluto daemon to crash and restart.

Pubblicata Friday, August 25, 2023 alle ore 11:15:00 PM


6.5 MEDIUM

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-24547

On affected platforms running Arista MOS, the configuration of a BGP password will cause the password to be logged in clear text that can be revealed in local logs or remote logging servers by authenticated users, as well as appear in clear text in the device’s running config.

Pubblicata Wednesday, December 6, 2023 alle ore 1:15:00 AM


6.5 MEDIUM

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-28876

A Broken Access Control issue in comments to uploaded files in Filerun through Update 20220202 allows attackers to delete comments on files uploaded by other users.

Pubblicata Wednesday, December 6, 2023 alle ore 2:15:00 AM


4.3 MEDIUM

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-28875

A Stored XSS issue in shared files download terms in Filerun Update 20220202 allows attackers to inject JavaScript code that is executed when a user follows the crafted share link.

Pubblicata Wednesday, December 6, 2023 alle ore 2:15:00 AM


5.4 MEDIUM

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-33080

Transient DOS while parsing a vender specific IE (Information Element) of reassociation response management frame.

Pubblicata Tuesday, December 5, 2023 alle ore 4:15:00 AM


7.5 HIGH

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-33081

Transient DOS while converting TWT (Target Wake Time) frame parameters in the OTA broadcast.

Pubblicata Tuesday, December 5, 2023 alle ore 4:15:00 AM


7.5 HIGH

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-48930

xinhu xinhuoa 2.2.1 contains a File upload vulnerability.

Pubblicata Wednesday, December 6, 2023 alle ore 2:15:00 AM


9.8 CRITICAL

CVSS V3.1

N/A

CVSS V2.0

CVE-2021-27795

Brocade Fabric OS (FOS) hardware platforms running any version of Brocade Fabric OS software, which supports the license string format; contain cryptographic issues that could allow for the installation of forged or fraudulent license keys. This would allow attackers or a malicious party to forge a counterfeit license key that the Brocade Fabric OS platform would authenticate and activate as if it were a legitimate license key.

Pubblicata Wednesday, December 6, 2023 alle ore 3:15:00 AM


8.1 HIGH

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-48940

A stored cross-site scripting (XSS) vulnerability in /admin.php of DaiCuo v2.5.15 allows attackers to execute arbitrary web scripts or HTML via a crafted payload.

Pubblicata Wednesday, December 6, 2023 alle ore 3:15:00 AM


5.4 MEDIUM

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-38710

An issue was discovered in Libreswan before 4.12. When an IKEv2 Child SA REKEY packet contains an invalid IPsec protocol ID number of 0 or 1, an error notify INVALID_SPI is sent back. The notify payload's protocol ID is copied from the incoming packet, but the code that verifies outgoing packets fails an assertion that the protocol ID must be ESP (2) or AH(3) and causes the pluto daemon to crash and restart. NOTE: the earliest affected version is 3.20.

Pubblicata Friday, August 25, 2023 alle ore 11:15:00 PM


6.5 MEDIUM

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-5871

A flaw was found in libnbd, due to a malicious Network Block Device (NBD), a protocol for accessing Block Devices such as hard disks over a Network. This issue may allow a malicious NBD server to cause a Denial of Service.

Pubblicata Monday, November 27, 2023 alle ore 1:15:00 PM


5.3 MEDIUM

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-49093

HtmlUnit is a GUI-less browser for Java programs. HtmlUnit is vulnerable to Remote Code Execution (RCE) via XSTL, when browsing the attacker’s webpage. This vulnerability has been patched in version 3.9.0

Pubblicata Monday, December 4, 2023 alle ore 6:15:00 AM


8.8 HIGH

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-6508

Use after free in Media Stream in Google Chrome prior to 120.0.6099.62 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High)

Pubblicata Wednesday, December 6, 2023 alle ore 3:15:00 AM


8.8 HIGH

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-6509

Use after free in Side Panel Search in Google Chrome prior to 120.0.6099.62 allowed a remote attacker who convinced a user to engage in specific UI interaction to potentially exploit heap corruption via specific UI interaction. (Chromium security severity: High)

Pubblicata Wednesday, December 6, 2023 alle ore 3:15:00 AM


8.8 HIGH

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-6510

Use after free in Media Capture in Google Chrome prior to 120.0.6099.62 allowed a remote attacker who convinced a user to engage in specific UI interaction to potentially exploit heap corruption via specific UI interaction. (Chromium security severity: Medium)

Pubblicata Wednesday, December 6, 2023 alle ore 3:15:00 AM


8.8 HIGH

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-6679

A null pointer dereference vulnerability was found in dpll_pin_parent_pin_set() in drivers/dpll/dpll_netlink.c in the Digital Phase Locked Loop (DPLL) subsystem in the Linux kernel. This issue could be exploited to trigger a denial of service.

Pubblicata Monday, December 11, 2023 alle ore 8:15:00 PM


N/A

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-5344

Heap-based Buffer Overflow in GitHub repository vim/vim prior to 9.0.1969.

Pubblicata Monday, October 2, 2023 alle ore 10:15:00 PM


7.5 HIGH

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-49795

MindsDB connects artificial intelligence models to real time data. Versions prior to 23.11.4.1 contain a server-side request forgery vulnerability in `file.py`. This can lead to limited information disclosure. Users should use MindsDB's `staging` branch or v23.11.4.1, which contain a fix for the issue.

Pubblicata Monday, December 11, 2023 alle ore 8:15:00 PM


N/A

CVSS V3.1

N/A

CVSS V2.0

CVE-2023-48715

Tuleap is an open source suite to improve management of software developments and collaboration. Prior to version 15.2.99.103 or Tuleap Community Edition and prior to versions 15.2-4 and 15.1-8 of Tuleap Enterprise Edition, the name of the releases are not properly escaped on the edition page of a release. A malicious user with the ability to create a FRS release could force a victim having write permissions in the FRS to execute uncontrolled code. Tuleap Community Edition 15.2.99.103, Tuleap Enterprise Edition 15.2-4, and Tuleap Enterprise Edition 15.1-8 contain a fix for this issue.

Pubblicata Monday, December 11, 2023 alle ore 8:15:00 PM


N/A

CVSS V3.1

N/A

CVSS V2.0

Milano

Via Monte Napoleone, 8


Prima di continuare con la navigazione ti chiediamo di prendere visione della nostra Cookie Policy