Versioni software: chiave per la sicurezza IT
QMETHODS GmbH

Versioni software: chiave per la sicurezza IT

Identificazione delle versioni dei prodotti per la valutazione dello stato di release e patch e il rilevamento delle vulnerabilità IT pubblicate

 
In questo post del blog mostriamo due possibili varianti per determinare le versioni dei prodotti software sugli host nel panorama IT. Queste varianti sono una parte importante della valutazione della sicurezza informatica, in particolare per valutare il ciclo di vita del prodotto (strategia di release e patch) e per identificare le vulnerabilità IT.
 

Variante 1: Software installato

Variante 1: Software installato
X

Variante 1: Software installato

La variante più semplice e ovvia è quella di interrogare il gestore dei pacchetti (Unix, Linux, macOS) o l'inventario del software (Windows) dei sistemi operativi per scoprire quali prodotti sono stati installati sull'host.

La figura seguente mostra un esempio di come Versio.io rende disponibili i dati nella piattaforma. Per ogni prodotto installato sono disponibili informazioni sul produttore, il nome del prodotto, la versione utilizzata e altri metadati.

 

Variante 2: Processi eseguiti dal sistema operativo

Variante 2: Processi eseguiti dal sistema operativo
X

Variante 2: Processi eseguiti dal sistema operativo

Una variante più complessa consiste nel riconoscere continuamente tutti i processi in esecuzione su un sistema operativo e quindi richiederne la versione. In Windows è facile richiedere il produttore, il prodotto e la versione tramite le informazioni di processo disponibili in Windows. Nei sistemi operativi basati su Linux non esiste uno standard e quindi la determinazione della versione è un po' più complicata, poiché sono necessarie diverse procedure di determinazione. Di seguito sono riportati alcuni modi per registrare le informazioni sulla versione e un esempio di come un processo che include il rilevamento della versione viene mappato in Versio.io:

  • Riga di comando: java --version
  • Variabile ambiente: JAVA_VERSION=21.0.5
  • Riga in un file di informazioni o configurazione: versione: 21.0.5
  • Nome directory: /opt/openjdk21.0.5/bin/java

 

Confronto tra le varianti

Entrambe le varianti presentano vantaggi e svantaggi, che vengono nuovamente illustrati nella tabella seguente:
 
Prodotti software installati Processi del sistema operativo eseguiti
Valutazione qualitativa
  • Interrogando il gestore dei pacchetti o l'inventario del software è possibile determinare tutti i prodotti software installati, compresa la versione.
  • La specifica della versione corrisponde alla designazione del produttore.
  • Il prodotto software e la versione possono essere determinati per tutti i processi del sistema operativo in esecuzione indipendentemente dal tipo di distribuzione (installazione o applicazione/binario decompresso manualmente) (vedere la descrizione della Variante 2).
  • La determinazione del prodotto e della versione include componenti di terze parti (ad es. framework o librerie) se i requisiti tecnici lo consentono (ad es. applicazioni Java o Node.js).
Importatore Versio.io Software installato sull'host (basato su agente e senza agente) Processo host (basato su agente)
Sforzo/Costo basso alto
Tabella: Confronto delle varianti per la determinazione delle versioni del software
 

Raccomandazione

Le due varianti illustrate per determinare le versioni del software possono essere utilizzate singolarmente o in combinazione, a seconda delle esigenze del cliente. La seguente raccomandazione si applica in generale alle diverse aree di responsabilità nell'ambito dell'IT:
  • Gestione desktop/dispositivi finali = Software installato
  • Gestione server = Software installato e/o processi del sistema operativo
In genere consigliamo ai clienti di iniziare con la variante dei prodotti software installati. Con poco sforzo e costi contenuti è possibile determinare la maggior parte delle versioni software e ottenere un elevato livello di sicurezza informatica grazie allo stato delle release e delle patch e alla valutazione delle vulnerabilità IT.
Per garantire la massima trasparenza e la sicurezza delle infrastrutture host critiche per il business e l'IT, come le applicazioni core o online, consigliamo di estendere il rilevamento delle versioni in base ai processi del sistema operativo in esecuzione.
 

Valutazione della sicurezza informatica di Outlook

Il rilevamento della versione è il prerequisito per valutare il ciclo di vita del prodotto e riconoscere le vulnerabilità IT esistenti. La valutazione e il rilevamento sono supportati in modo completamente automatico in Versio.io.
Sono disponibili le seguenti strategie per valutare il ciclo di vita in base alle versioni del prodotto:
  • È una versione stabile?
  • Si sta utilizzando l'ultima release?
  • Si sta utilizzando l'ultima versione del release?
  • Viene utilizzata una versione con supporto a lungo termine (LTS)?
  • Si sta utilizzando l'ultima versione con supporto a lungo termine?
  • La versione implementata dispone ancora dell'assistenza clienti (supporto) del produttore?
  • La versione distribuita è ancora coperta dal servizio di manutenzione fornito dal produttore?
Il risultato è una valutazione della sicurezza informatica per ogni versione di prodotto riconosciuta, con informazioni dettagliate e riferimenti alle fonti di informazione. Versio.io fornisce anche una raccomandazione sulla versione del prodotto da aggiornare/aggiornare per ottenere lo stato di conformità in materia di sicurezza informatica. L'illustrazione seguente mostra una valutazione della versione del software per il prodotto Acrobat Reader:
Valutazione della sicurezza informatica di Outlook
XValutazione della sicurezza informatica di Outlook
Figura: Determinazione del prodotto e della versione in base al software in esecuzione sul sistema operativo
 

Autori | 17 marzo 2025


Fabian Klose
Fabian Klose
Head of Software Development
P:  +49-30-221986-51
LinkedIn
Matthias Scholze
Matthias Scholze
Chief Technology Officer
P:  +49-30-221986-51
LinkedIn