Ciao! Sono

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

Contattami

Chi Sono

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

Le Mie Competenze

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

Automazione Processi

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

Sistemi Custom

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

La Mia Missione

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

Democratizzare la Tecnologia

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

Unire Informatica ed Economia

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

Creare Soluzioni su Misura

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

Trasforma la Tua Attività con la Tecnologia

Che tu gestisca un negozio, uno studio professionale o un'azienda, posso aiutarti a sfruttare le potenzialità dell'informatica per lavorare meglio, più velocemente e in modo più intelligente.

Parliamone Insieme →

Unisciti alla Community

Entra nella community di sviluppatori dove discutiamo di software, AI, architettura e DevOps. Condividi idee, fai domande e cresci insieme a noi.

Canale

FC Dev Blog

Ricevi notifiche su nuovi articoli, serie complete, tips settimanali e tool in evidenza. Contenuti bilingui IT/EN direttamente nel tuo Telegram.

Nuovi articoli appena pubblicati
Tips e code snippets settimanali
Sondaggi sugli argomenti futuri

Iscriviti al Canale

Gruppo

FC Dev Community

Una community bilingue IT/EN per sviluppatori. Discussioni, Q&A, aiuto reciproco e networking con altri professionisti del settore.

Discussioni su articoli e tecnologie
Help coding e code review
Opportunità di lavoro e collaborazione

Unisciti al Gruppo

Topic di Discussione

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

Linguaggi & Tecnologie

Java

Python

JavaScript

Angular

React

TypeScript

SQL

PHP

CSS/SCSS

Node.js

Docker

Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

Contattami

Hai un progetto in mente? Parliamone! Compila il form qui sotto e ti risponderò al più presto.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

SAST: Cos'è l'Analisi Statica del Codice

SAST (Static Application Security Testing) e una tecnica di analisi che esamina il codice sorgente senza eseguirlo, alla ricerca di pattern che indicano vulnerabilità di sicurezza. A differenza del testing dinamico che richiede un'applicazione in esecuzione, SAST opera direttamente sul codice, permettendo di individuare problemi nelle primissime fasi di sviluppo.

SAST analizza il codice alla ricerca di vulnerabilità come SQL injection, cross-site scripting (XSS), buffer overflow, hardcoded credentials, insecure deserialization e molte altre. Gli strumenti SAST costruiscono un modello del codice (AST - Abstract Syntax Tree) e applicano regole di sicurezza per identificare pattern problematici.

In questo articolo esploreremo i principali strumenti SAST, la loro integrazione nella pipeline CI/CD e le strategie per gestire uno dei problemi più comuni: i false positives.

Cosa Imparerai

Come funziona SAST e la differenza con DAST e IAST
Configurare SonarQube, Semgrep e CodeQL nella pipeline CI/CD
Scrivere regole custom per Semgrep
Gestire false positives e prioritizzare i finding
Integrare SAST nell'IDE per feedback immediato
Quality Gates e soglie di blocco per il deploy

SAST vs DAST vs IAST: Le Differenze

Per scegliere gli strumenti giusti, e fondamentale capire le differenze tra i tre approcci principali di security testing:

      Confronto tra Approcci di Security Testing
      
        
          Caratteristica
          SAST
          DAST
          IAST
        

          Analisi
          Codice sorgente (white-box)
          Applicazione in esecuzione (black-box)
          Runtime con agente (grey-box)
        

          Quando
          Durante lo sviluppo, in CI
          In staging/pre-produzione
          Durante i test funzionali
        

          Copertura
          Tutto il codice, anche non raggiungibile
          Solo le parti raggiungibili via HTTP
          Codice eseguito durante i test
        

          False Positives
          Medio-alto
          Basso
          Molto basso
        

          Velocita
          Veloce (minuti)
          Lento (ore)
          Dipende dai test
        

    

L'approccio ottimale e utilizzare tutti e tre in modo complementare: SAST per il feedback rapido durante lo sviluppo, DAST per validare la sicurezza runtime e IAST per correlazione precisa durante i test.

SonarQube: Analisi Completa della qualità del Codice

SonarQube e la piattaforma SAST più diffusa, utilizzata da oltre 400.000 organizzazioni. Oltre alla sicurezza, analizza qualità del codice, code smells, duplicazioni e copertura dei test. La versione Community e open source e copre 30+ linguaggi di programmazione.

Setup con Docker Compose

Il modo più rapido per avviare SonarQube in locale o in un ambiente di staging e tramite Docker Compose:


# docker-compose.sonarqube.yml
version: "3.8"
services:
  sonarqube:
    image: sonarqube:lts-community
    container_name: sonarqube
    ports:
      - "9000:9000"
    environment:
      - SONAR_JDBC_URL=jdbc:postgresql://db:5432/sonarqube
      - SONAR_JDBC_USERNAME=sonar
      - SONAR_JDBC_PASSWORD=sonar_password
    volumes:
      - sonarqube_data:/opt/sonarqube/data
      - sonarqube_logs:/opt/sonarqube/logs
      - sonarqube_extensions:/opt/sonarqube/extensions
    depends_on:
      - db

  db:
    image: postgres:15
    container_name: sonarqube-db
    environment:
      - POSTGRES_USER=sonar
      - POSTGRES_PASSWORD=sonar_password
      - POSTGRES_DB=sonarqube
    volumes:
      - postgresql_data:/var/lib/postgresql/data

volumes:
  sonarqube_data:
  sonarqube_logs:
  sonarqube_extensions:
  postgresql_data:

Integrazione in GitHub Actions

L'integrazione di SonarQube nella pipeline CI/CD con GitHub Actions permette di eseguire l'analisi automaticamente ad ogni push o pull request:


# .github/workflows/sonarqube.yml
name: SonarQube Analysis
on:
  push:
    branches: [main, develop]
  pull_request:
    branches: [main]

jobs:
  sonarqube:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 0

      - name: SonarQube Scan
        uses: SonarSource/sonarqube-scan-action@v3
        env:
          SONAR_TOKEN: #123;{ secrets.SONAR_TOKEN }}
          SONAR_HOST_URL: #123;{ secrets.SONAR_HOST_URL }}

      - name: SonarQube Quality Gate
        uses: SonarSource/sonarqube-quality-gate-action@v1
        timeout-minutes: 5
        env:
          SONAR_TOKEN: #123;{ secrets.SONAR_TOKEN }}

Semgrep: Analisi Statica Leggera e Personalizzabile

Semgrep e uno strumento SAST open source creato da Return Security (ora Semgrep Inc.) che si distingue per la semplicità nella creazione di regole custom. A differenza di SonarQube che richiede un server, Semgrep può essere eseguito come semplice tool da linea di comando.

La potenza di Semgrep sta nel suo linguaggio di pattern matching che permette di scrivere regole di sicurezza in modo intuitivo, quasi come scrivere il codice che si vuole trovare.

Scrivere Regole Custom Semgrep

Ecco un esempio di regola Semgrep per individuare SQL injection in applicazioni Python:


# .semgrep/sql-injection.yml
rules:
  - id: python-sql-injection
    patterns:
      - pattern: |
          cursor.execute($QUERY)
      - pattern-not: |
          cursor.execute($QUERY, $PARAMS)
      - metavariable-pattern:
          metavariable: $QUERY
          patterns:
            - pattern: |
                f"..."
    message: >
      Possibile SQL injection: la query SQL utilizza f-string
      invece di parametri preparati. Usa cursor.execute(query, params)
      con placeholder %s per prevenire injection.
    severity: ERROR
    languages: [python]
    metadata:
      cwe:
        - "CWE-89: Improper Neutralization of Special Elements"
      owasp:
        - "A03:2021 - Injection"
      confidence: HIGH

Integrazione in CI/CD

Semgrep si integra facilmente in qualsiasi pipeline CI/CD. Ecco la configurazione per GitHub Actions:


# .github/workflows/semgrep.yml
name: Semgrep Security Scan
on:
  push:
    branches: [main]
  pull_request:

jobs:
  semgrep:
    runs-on: ubuntu-latest
    container:
      image: semgrep/semgrep
    steps:
      - uses: actions/checkout@v4

      - name: Run Semgrep
        run: |
          semgrep scan \
            --config auto \
            --config .semgrep/ \
            --sarif --output semgrep-results.sarif \
            --error \
            --severity ERROR

      - name: Upload SARIF
        if: always()
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: semgrep-results.sarif

CodeQL: L'Analisi Semantica di GitHub

CodeQL e il motore di analisi sviluppato da GitHub che tratta il codice come dati interrogabili. A differenza di Semgrep che usa pattern matching, CodeQL costruisce un database relazionale del codice e permette di scrivere query complesse per trovare vulnerabilità.

CodeQL eccelle nell'analisi taint tracking: la capacità di seguire il flusso dei dati dall'input utente (source) fino a operazioni sensibili (sink), verificando se i dati vengono sanitizzati lungo il percorso.

CodeQL: Vantaggi Chiave

Gratuito per repository pubblici su GitHub
Analisi semantica profonda con taint tracking
Community di regole estesa e manutenuta da GitHub Security Lab
Integrazione nativa con GitHub Advanced Security
Supporto per query custom in linguaggio QL

Gestione dei False Positives

Uno dei problemi maggiori con gli strumenti SAST e il tasso di false positives: alert che segnalano vulnerabilità che in realta non esistono. Un tasso di false positives troppo alto erode la fiducia del team negli strumenti e porta all'alert fatigue, dove i developer iniziano a ignorare tutti gli alert.

Strategie per Ridurre i False Positives

Tuning delle regole: disabilitare regole non rilevanti per il contesto dell'applicazione
Esclusioni mirate: escludere file generati, test, vendor code
Baseline: stabilire una baseline e concentrarsi solo sui nuovi finding
Prioritizzazione: focalizzarsi prima su CRITICAL e HIGH severity
Suppression comments: marcare i false positives con commenti documentati


# Esempio di suppression in codice Python
import hashlib

# Questo uso di MD5 e per checksum, non per sicurezza
# nosemgrep: python-weak-hashing
file_hash = hashlib.md5(file_content).hexdigest()  # noqa: S303

# Esempio di suppression per SonarQube
password = get_env("DB_PASSWORD")  # NOSONAR - password da env var, non hardcoded

Quality Gates: Quando Bloccare il Deploy

Un Quality Gate definisce le soglie minime di qualità e sicurezza che il codice deve rispettare per poter essere rilasciato. E il meccanismo che trasforma SAST da tool informativo a gate bloccante nella pipeline.

      Quality Gate Raccomandato
      
          Metrica
          Soglia
          Azione
        
          Vulnerabilità CRITICAL
          0
          Blocca il deploy
        
          Vulnerabilità HIGH
          0 (nuovo codice)
          Blocca il deploy
        
          Vulnerabilità MEDIUM
          Max 5 (nuovo codice)
          Warning, review richiesta
        
          Security Hotspots
          100% reviewed
          Blocca se non reviewati
        
          Code Coverage
          Min 80% (nuovo codice)
          Warning

SAST nell'IDE: Feedback Immediato

Lo shift-left più efficace e portare l'analisi SAST direttamente nell'IDE del developer. Questo permette di individuare e correggere vulnerabilità mentre si scrive il codice, prima ancora del commit.

SonarLint: plugin per IntelliJ, VS Code, Eclipse. Connesso a SonarQube per sincronizzare le regole
Semgrep VS Code Extension: evidenzia i finding direttamente nell'editor
GitHub Copilot: suggerisce fix di sicurezza contestuali

L'integrazione nell'IDE riduce il feedback loop da minuti (CI/CD) a secondi, aumentando drasticamente la probabilità che il developer corregga il problema immediatamente.

Best Practice per SAST

Dopo aver implementato SAST in diversi progetti enterprise, ecco le best practice che raccomandiamo:

Iniziare in modalità non bloccante: i primi 2-4 sprint, SAST genera solo report senza bloccare il deploy. Questo permette al team di familiarizzare con gli strumenti
Stabilire una baseline: registrare il numero di finding esistenti e focalizzarsi sulla riduzione progressiva
Focus sul nuovo codice: applicare soglie stringenti solo al codice nuovo, per evitare di bloccare il team su debito tecnico legacy
Regole custom per il contesto: creare regole Semgrep/CodeQL specifiche per i pattern dell'applicazione
Review settimanale dei finding: dedicare 1-2 ore settimanali al triage dei finding SAST con il Security Champion
Metriche e trend: tracciare MTTR, false positive rate e vulnerability density nel tempo

Conclusioni

SAST e il primo livello di difesa nel paradigma DevSecOps. Individuare vulnerabilità nel codice sorgente prima che venga eseguito permette di risparmiare tempo, denaro e rischi. La chiave del successo e l'equilibrio tra copertura e usabilita: troppe regole generano alert fatigue, troppo poche lasciano passare vulnerabilità critiche.

Nel prossimo articolo esploreremo DAST (Dynamic Application Security Testing), il complemento naturale di SAST che analizza le applicazioni in esecuzione per trovare vulnerabilità runtime come XSS, CSRF e misconfiguration.

Caratteristica	SAST	DAST	IAST
Analisi	Codice sorgente (white-box)	Applicazione in esecuzione (black-box)	Runtime con agente (grey-box)
Quando	Durante lo sviluppo, in CI	In staging/pre-produzione	Durante i test funzionali
Copertura	Tutto il codice, anche non raggiungibile	Solo le parti raggiungibili via HTTP	Codice eseguito durante i test
False Positives	Medio-alto	Basso	Molto basso
Velocita	Veloce (minuti)	Lento (ore)	Dipende dai test

Metrica	Soglia	Azione
Vulnerabilità CRITICAL	0	Blocca il deploy
Vulnerabilità HIGH	0 (nuovo codice)	Blocca il deploy
Vulnerabilità MEDIUM	Max 5 (nuovo codice)	Warning, review richiesta
Security Hotspots	100% reviewed	Blocca se non reviewati
Code Coverage	Min 80% (nuovo codice)	Warning