こんにちは！

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

お問い合わせ

自己紹介

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

スキル

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

プロセス自動化

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

カスタムシステム

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

ミッション

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

🚀

テクノロジーの民主化

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

💡

ITとビジネスの融合

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

🎯

カスタムソリューション

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

テクノロジーでビジネスを変革

Dicembre 2024

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

💻 Linguaggi & Tecnologie

☕Java

🐍Python

📜JavaScript

🅰️Angular

⚛️React

🔷TypeScript

🗄️SQL

🐘PHP

🎨CSS/SCSS

🔧Node.js

🐳Docker

🌿Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

お問い合わせ

プロジェクトをお考えですか？お気軽にお問い合わせください。

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

SAST: 静的コード分析とは何ですか

SAST (静的アプリケーションセキュリティテスト) を調べる分析手法と、ソースコードを実行せずに解析し、セキュリティの脆弱性を示すパターンを探します。実行中のアプリケーションを必要とする動的テストとは異なり、SAST は動作します。コード上で直接実行できるため、開発の非常に初期段階で問題を特定できます。

SAST は、SQL インジェクション、クロスサイトスクリプティング (XSS)、バッファオーバーフロー、ハードコードされた資格情報、安全でない逆シリアル化など。 SASTツールコードのモデル (AST - 抽象構文ツリー) を構築し、セキュリティルールを適用します。問題のあるパターンを特定します。

この記事では、主要な SAST ツールとそのパイプラインへの統合について説明します。 CI/CD と、最も一般的な問題の 1 つである誤検知を管理するための戦略。

何を学ぶか

SAST の仕組みと DAST および IAST との違い
CI/CD パイプラインで SonarQube、Semgrep、CodeQL を構成する
Semgrep のカスタムルールを作成する
誤検知を管理し、発見結果に優先順位を付ける
SAST を IDE に統合して即座にフィードバックを得る
品質ゲートと展開のブロックしきい値

SAST、DAST、IAST: 違い

適切なツールを選択するには、3 つのアプローチの違いを理解することが重要ですセキュリティテストの原則:

セキュリティテストアプローチの比較


特性
SAST
ダスト
IAST

分析
ソースコード (ホワイトボックス)
実行中のアプリケーション (ブラックボックス)
エージェントを使用したランタイム (グレーボックス)

いつ
開発中、CI 内で
ステージング/プリプロダクション中
機能テスト中

カバレッジ
すべてのコード（到達不能な場合も含む）
HTTP経由で到達可能な部分のみ
テスト中に実行されるコード

誤検知
中～高
ベース
非常に低い

スピード
速い (分)
遅い（時間）
それはテスト次第です

最適なアプローチと使用法 3つとも 補完的な方法: SAST 開発中の迅速なフィードバック、実行時のセキュリティを検証するための DAST、およびテスト中の正確な相関関係。

SonarQube: 包括的なコード品質分析

ソナーキューブ そして、400,000 を超える組織で使用されている最も人気のある SAST プラットフォームです。セキュリティに加えて、コードの品質、コードの匂い、重複、テストカバレッジも分析します。コミュニティバージョンはオープンソースで、30 以上のプログラミング言語をカバーしています。

Docker Compose を使用したセットアップ

SonarQube をローカルまたはステージング環境で起動する最速の方法 Docker Compose:


# docker-compose.sonarqube.yml
version: "3.8"
services:
  sonarqube:
    image: sonarqube:lts-community
    container_name: sonarqube
    ports:
      - "9000:9000"
    environment:
      - SONAR_JDBC_URL=jdbc:postgresql://db:5432/sonarqube
      - SONAR_JDBC_USERNAME=sonar
      - SONAR_JDBC_PASSWORD=sonar_password
    volumes:
      - sonarqube_data:/opt/sonarqube/data
      - sonarqube_logs:/opt/sonarqube/logs
      - sonarqube_extensions:/opt/sonarqube/extensions
    depends_on:
      - db

  db:
    image: postgres:15
    container_name: sonarqube-db
    environment:
      - POSTGRES_USER=sonar
      - POSTGRES_PASSWORD=sonar_password
      - POSTGRES_DB=sonarqube
    volumes:
      - postgresql_data:/var/lib/postgresql/data

volumes:
  sonarqube_data:
  sonarqube_logs:
  sonarqube_extensions:
  postgresql_data:

GitHub アクションへの統合

GitHub Actions を使用して SonarQube を CI/CD パイプラインに統合すると、以下を実行できるようになります。プッシュまたはプルリクエストごとに自動的に分析が行われます。


# .github/workflows/sonarqube.yml
name: SonarQube Analysis
on:
  push:
    branches: [main, develop]
  pull_request:
    branches: [main]

jobs:
  sonarqube:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 0

      - name: SonarQube Scan
        uses: SonarSource/sonarqube-scan-action@v3
        env:
          SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}
          SONAR_HOST_URL: ${{ secrets.SONAR_HOST_URL }}

      - name: SonarQube Quality Gate
        uses: SonarSource/sonarqube-quality-gate-action@v1
        timeout-minutes: 5
        env:
          SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}

Semgrep: 軽量でカスタマイズ可能な静的解析

セムグレップ Return Security (現 Semgrep Inc.) によって作成されたオープンソース SAST ツールこれは、カスタムルールの作成が簡単であるという点で際立っています。 SonarQubeとは異なりますこれにはサーバーが必要ですが、Semgrep は単純なコマンドラインツールとして実行できます。

Semgrep の威力は、次のような記述を可能にするパターンマッチング言語にあります。見つけたいコードを書くのとほぼ同じように、直感的な方法でセキュリティルールを作成できます。

カスタム Semgrep ルールの作成

Python アプリケーションで SQL インジェクションを検出するための Semgrep ルールの例を次に示します。


# .semgrep/sql-injection.yml
rules:
  - id: python-sql-injection
    patterns:
      - pattern: |
          cursor.execute($QUERY)
      - pattern-not: |
          cursor.execute($QUERY, $PARAMS)
      - metavariable-pattern:
          metavariable: $QUERY
          patterns:
            - pattern: |
                f"..."
    message: >
      Possibile SQL injection: la query SQL utilizza f-string
      invece di parametri preparati. Usa cursor.execute(query, params)
      con placeholder %s per prevenire injection.
    severity: ERROR
    languages: [python]
    metadata:
      cwe:
        - "CWE-89: Improper Neutralization of Special Elements"
      owasp:
        - "A03:2021 - Injection"
      confidence: HIGH

CI/CDの統合

Semgrep は、あらゆる CI/CD パイプラインに簡単に統合できます。セットアップは次のとおりです GitHub アクション:


# .github/workflows/semgrep.yml
name: Semgrep Security Scan
on:
  push:
    branches: [main]
  pull_request:

jobs:
  semgrep:
    runs-on: ubuntu-latest
    container:
      image: semgrep/semgrep
    steps:
      - uses: actions/checkout@v4

      - name: Run Semgrep
        run: |
          semgrep scan \
            --config auto \
            --config .semgrep/ \
            --sarif --output semgrep-results.sarif \
            --error \
            --severity ERROR

      - name: Upload SARIF
        if: always()
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: semgrep-results.sarif

CodeQL: GitHub のセマンティック分析

コードQL コードをデータとして扱う GitHub によって開発された分析エンジン疑問です。パターンマッチングを使用する Semgrep とは異なり、CodeQL はデータベースを構築します。リレーショナルコードを使用して、脆弱性を見つけるための複雑なクエリを作成できます。

CodeQL は分析に優れています 汚染の追跡：流れに従う能力ユーザー入力 (ソース) から機密性の高い操作 (シンク) までのデータ。途中で消毒されます。

CodeQL: 主な利点

GitHub 上のパブリックリポジトリは無料
テイント追跡による詳細なセマンティック分析
GitHub Security Lab によって拡張および維持されるルールコミュニティ
GitHub Advanced Security とのネイティブ統合
QL言語でのカスタムクエリのサポート

誤検知の管理

SAST ツールの最大の問題の 1 つは、 誤検知: 実際には存在しない脆弱性を報告するアラート。誤検知率も高いとツールに対するチームの信頼が損なわれ、次のような問題が発生します。疲労を警告する、ここで開発者はすべてのアラートを無視し始めます。

誤検知を減らすための戦略

ルールのチューニング: アプリケーションのコンテキストに関係のないルールを無効にします。
対象を絞った除外: 生成されたファイル、テスト、ベンダーコードを除外します
ベースライン: ベースラインを確立し、新しい発見のみに焦点を当てます。
優先順位付け: 最初に CRITICAL および HIGH 重大度に焦点を当てます
抑制コメント: 文書化されたコメントで誤検知をマークします


# Esempio di suppression in codice Python
import hashlib

# Questo uso di MD5 e per checksum, non per sicurezza
# nosemgrep: python-weak-hashing
file_hash = hashlib.md5(file_content).hexdigest()  # noqa: S303

# Esempio di suppression per SonarQube
password = get_env("DB_PASSWORD")  # NOSONAR - password da env var, non hardcoded

品質ゲート: 導入をブロックする場合

Un クオリティゲート コードが適用する最小の品質および安全性のしきい値を定義します。解放されるためには従わなければなりません。そしてSASTをツールから変換する仕組みパイプライン内のゲートをブロックするのに役立ちます。

品質ゲート推奨


メトリック
しきい値
アクション

重大な脆弱性
0
デプロイメントをブロックする

高い脆弱性
0 (新しいコード)
デプロイメントをブロックする

中程度の脆弱性
最大 5 (新しいコード)
警告、再検討が必要です

セキュリティホットスポット
100% レビュー済み
審査されない場合はブロックする

コードカバレッジ
最小 80% (新しいコード)
警告

IDE の SAST: 即時フィードバック

最も効果的なシフトレフトは、SAST 分析を開発者の IDE に直接導入することです。これにより、コードの作成中に脆弱性を見つけて修正できるようになります。コミット前であっても。

ソナーリント: IntelliJ、VS Code、Eclipse 用のプラグイン。ルールを同期するために SonarQube に接続しました
Semgrep VS コード拡張: エディターで検出結果を直接強調表示します。
GitHub コパイロット: 状況に応じたセキュリティ修正を提案します

IDE への統合により、フィードバックループが数分から (CI/CD) 秒に短縮され、開発者が問題をすぐに修正する可能性が大幅に高まります。

SAST のベストプラクティス

いくつかのエンタープライズプロジェクトで SAST を実装した後のベストプラクティスを次に示します。私たちは以下をお勧めします:

ノンブロッキングモードで起動する: 最初の 2 ～ 4 スプリントでは、SAST はデプロイメントをブロックせずにレポートのみを生成します。これにより、チームはツールに慣れることができます
ベースラインを確立する: 既存の所見の数を記録し、漸進的な削減に焦点を当てます。
新しいコードに注目してください: チームが従来の技術的負債に閉じ込められるのを避けるために、新しいコードにのみ厳しいしきい値を適用します。
コンテキストのカスタムルール: アプリケーションパターンに固有の Semgrep/CodeQL ルールを作成します
調査結果の毎週のレビュー: 週に 1 ～ 2 時間をセキュリティチャンピオンとの SAST 結果のトリアージに充てます。
指標と傾向: MTTR、誤検知率、脆弱性密度を経時的に追跡します。

結論

SAST は、DevSecOps パラダイムにおける防御の最初の層です。の脆弱性を特定するソースコードを実行する前に保存しておくことで、時間、お金、リスクを節約できます。成功の鍵は適用範囲と使いやすさのバランスです。ルールが多すぎると生成されるアラート疲れ、重大な脆弱性を通過させるものが少なすぎる。

次の記事では、詳しく見ていきます DAST (動的アプリケーションセキュリティテスト)、実行中のアプリケーションを分析して検出する SAST を自然に補完するもの XSS、CSRF、構成ミスなどのランタイム脆弱性。

特性	SAST	ダスト	IAST
分析	ソースコード (ホワイトボックス)	実行中のアプリケーション (ブラックボックス)	エージェントを使用したランタイム (グレーボックス)
いつ	開発中、CI 内で	ステージング/プリプロダクション中	機能テスト中
カバレッジ	すべてのコード（到達不能な場合も含む）	HTTP経由で到達可能な部分のみ	テスト中に実行されるコード
誤検知	中～高	ベース	非常に低い
スピード	速い (分)	遅い（時間）	それはテスト次第です

メトリック	しきい値	アクション
重大な脆弱性	0	デプロイメントをブロックする
高い脆弱性	0 (新しいコード)	デプロイメントをブロックする
中程度の脆弱性	最大 5 (新しいコード)	警告、再検討が必要です
セキュリティホットスポット	100% レビュー済み	審査されない場合はブロックする
コードカバレッジ	最小 80% (新しいコード)	警告