Si è tenuta poche settimane fa a Milano la Cast User Conference 2018, occasione d’aggiornamento per i clienti Cast Software sull’evoluzione dei tool per la qualità del software, oltre che per lo scambio d’esperienze e casi d’uso significativi. Michele Slocovich, solution design director di Cast Software, ha parlato dell’innovazione architetturale introdotta con l’ultima release della piattaforma AIP 8.3.x, che consiste nella suddivisione tra le componenti core e plug-in, in un disegno che sarà completato nel prossimo novembre, con il rilascio della major release 8.4.
“Un cambiamento in linea con la modalità Agile con cui viene oggi sviluppata la piattaforma, che ci permette di rilasciare più rapidamente componenti aggiornati”. L’architettura a plug-in rende infatti indipendenti i moduli per il parsing del codice o collegamento a repository, offerti sul sito Cast Extend. Cast ha annunciato nuove funzionalità per Highlight, il servizio di cloud Saas che completa sul fronte della gestione del portafoglio applicativo le capacità di AIP su singole applicazioni. “Abbiamo rafforzato le capacità di benchmarking, le scansioni di security su librerie e per la rilevazione della cloud readyness – continua Slocovich -. Diventa più semplice fare elaborazioni frequenti del parco applicativo”. Le API, da poco implementate, permettono di estrarre dati da Highlight per fare analisi di dettaglio sul parco applicativo. È stato inoltre rilasciato un plug-in per Visual Studio Team Services – precisa Slocovich -, altri simili saranno rilasciati tenendo conto delle richieste dei clienti della piattaforma online. Cast ha dato anticipazione su Web Backoffice, tool oggi in beta (si prevede il rilascio definitivo per la fine dell’anno) che integra le capacità del Cast Management Studio, lo strumento in cui avviene la scansione delle applicazioni secondo le diverse metriche di qualità e sicurezza, generando i report. “Per usarlo non è richiesta alcuna installazione – precisa Slocovich -. Backoffice consente di registrare le nuove applicazioni da Web, integrando le funzioni dell’attuale IC Portal. La disponibilità di template facilita l’onboarding delle applicazioni con la medesima architettura. Grazie alle API diventa inoltre possibile integrare il sistema nelle filiere di continuous development”. Anche l’Architecture Checker è stato migliorato per dare una visione sistemica delle applicazioni come insieme di sottosistemi. “Tanto più si adottano microservizi, tanto più le applicazioni diventano piccole e i problemi si spostano da queste all’orchestrazione, con esigenza di indagare le relazioni”, spiega Slocovich . Entro un paio d’anni le funzionalità dell’Architecture Checker saranno integrate nel Web Backoffice. Marco Bessi, solution design manager and innovation specialist di Cast, ha approfondito le novità funzionali della piattaforma AIP. “C’è il supporto di nuove regole che riguardano sia la parte Web sia il fronte della sicurezza”, spiega il manager. La 8.3 supporta le Common Weakness Enumeration e pur essendo un tool per l’analisi statica permette con tool di data flow analysis di effettuare verifiche simili ad altri strumenti di analisi dinamica”. Nella 8.3 sono diventate Extension le componenti di analisi C++, Java e HTML 5. “Rimpiazzano il precedente analyzer fornito embedded e velocizzano le analisi delle applicazioni di nuova generazione grazie al discovery automatico”, spiega Bessi. Con la prossima release 8.4 (oltre a J2EE, ndr) ci sarà il supporto .Net fornito come Extend.
Who's Who
Marco Bessi
In cerca dell’automazione
Con le grandi applicazioni che un poco alla volta si spezzano in microservizi, l’automazione dei processi d’analisi diventa sempre più cruciale. “Con i microservizi diventa più difficile testare l’applicazione – spiega Slocovich – perché la complessità si trasferisce sull’architettura”. Per rendere meno oneroso il lavoro sono stati previsti supporti per agenti esterni, plug-in Jenkings (automation server open source) per configurare i sistemi e ottenere integrazione nel ciclo di sviluppo. La Cast Dashboard è stata divisa tra Health e Engineering Dashboard, aggiungendo nuove funzioni. Sulla Health sono riportati file nuovi e risultati della validazione; sulla Engineering si accede più in profondità, visualizzando oggetti e codice sorgente fino al codice completo. È stata recentemente rilasciata in beta la Security Dashboard: “Si tratta di una verticalizzazione della Engineering dashboard – spiega Bessi – specializzata per la sicurezza. Oltre al risc-model già incluso nella Engineering, visualizza aspetti come SQL inject e cross-site-scripting. Nella versione definitiva disporrà di funzioni per security report, Cis compliance e security check sulla crittografia.
All’evento è stato mostrato un tool grafico in grado di rendere più semplice la comprensione delle relazioni che intercorrono tra le componenti di applicazioni complesse e facilitare l’esplorazione delle strutture interne. In versione ‘early alfa’ il tool sarà rilasciato da CAST in versione definitiva entro l’inizio del quarto trimestre e sarà ulteriormente potenziato nel corso del prossimo anno con l’aggiunta di funzioni intelligenti di machine learning e riconoscimento di pattern significativi. “La visualizzazione permette di fare drill down per vedere package e relazioni tra programmi – precisa Slocovich -. Il ‘navigatore’ può collassare la visualizzazione di parti conosciute o non significative. La visualizzazione riduce i tempi necessari per l’onboarding delle applicazioni. Sarà possibile avere la fotografia di come opera una transazione attraverso gli oggetti e i layer tecnologici che attraversa”.
All’evento è stata portata l’interessante esperienza d’integrazione di AIP nel ciclo d’engineering software della Divisione Land & Naval Defence Electronics di Leonardo SpA (ex Finmeccanica).
Slocovich ha inoltre spiegato come il gigante americano di riassicurazione dei mutui Fannie Mae, investito in pieno dalla crisi del 2008, si sia oggi rialzato grazie al profondo rinnovamento del parco applicativo realizzato con metodologia Agile. “La società ha creato una nuova piattaforma per i prestatori di prima istanza, riducendo i tempi di erogazione dei mutui e migliorando la governance – spiega Slocovich -. Ha usato Highlight per la scansione di 600 applicazioni, AIP, SonarQube e Crucible per la code review. L’aumento di produttività secondo quanto dichiarato dall’azienda, è stato pari al 28% con una riduzione dei costi del 30%”.