5 aspetti da considerare quando si desidera adottare un modello DevSecOps.

Le pratiche e i principi del DevOps hanno innumerevoli vantaggi se correttamente applicati, ma da soli non assicurano la qualità del software, anzi nello sforzo di consegnare il software al mercato il più velocemente possibile, le aziende rischiano la presenza di numerosi difetti. Per questo motivo è nato l’approccio DevSecOps.

Pensa in modo olistico e …”shift left”

La premessa del DevSecOps è quella di introdurre la sicurezza all’interno del ciclo di vita dello sviluppo del software, attraverso un approccio olistico che mira a coinvolgere e responsabilizzare tutti i membri del team. Per esprimere questo concetto in gergo si una la frase “shift left” letteralmente “spostare a sinistra”, nel senso appunto di incorporare fin dall’inizio le best practice di sicurezza. Se pensiamo inoltre che il software “moderno” è sempre meno “scritto” e sempre più “assemblato”, adottare un approccio olistico significa anche pensare alla somma delle parti, avendo un quadro molto completo dell’applicazione, che evita colli di bottiglia nei cicli di sprint. 

Definisci KPI chiari e condivisi

Lavorare con un approccio DevSecOps richiede un’attenta integrazione di metriche che possano assicurare il raggiungimento delle massime performance e che soprattutto siano condivise da tutti e tre i team che lavorano in sinergia: il team Developers, il team Security, e il team Operations. I team hanno ruoli molto diversi e sono mossi quindi da incentivi differenti, per questo è importante trovare e definire degli obiettivi chiari e condivisi, come per esempio aumentare la frequenza di rilascio, diminuire il tempo d’indivuazione dei malfunzionamenti.

Automatizza, ma con attenzione!

L’automazione per la semplificazione, la ripetibilità e la velocità, è la chiave del DevOps. Ma è importante non dimenticarsi di automatizzare solo dopo avere standardizzato le tecnologie e i processi con una gestione ripetibile della configurazione e del cambiamento.

Il mantra: Collaborazione e responsabilità condivisa

La cultura DevSecOps riguarda più le persone che gli strumenti che esse usano. Abbiamo parlato spesso di responsabilità condivisa rispetto alla sicurezza, ma responsabilità condivisa significa anche condivisione di conoscenza, di obiettivi e di principi. Stiamo parlando di un cambiamento comportamentale che deve diffondersi a tutti i livelli dell’organizzazione a partire dal CIO, un cambiamento che promuova l’autoconsapevolezza degli individui e il passaggio ad una strategia di resilienza, in grado di promuovere reale innovazione.

Costruisci una cultura DevSecOps

Una degli aspetti più difficili da fare in un’organizzazione è trasformarne la cultura,  ma farlo è indispensabile per guidarla verso l’adozione di una cultura DevSecOps. Esiste più di una strada per implementare un modello DevSecOps, per farlo è necessario adattare i diversi processi alla vostra organizzazione e convincere i team dell’importanza di integrare la sicurezza all’interno di questi, La sicurezza, come ho già detto, deve essere parte integrante di ciò che fate e quindi non deve essere d’intralcio. In questo modello è possibile responsabilizzare i team e contribuire a rendere la sicurezza silenziosa, consentendo ai team di utilizzare strumenti di test open source per migliorare la sicurezza del loro stack. La sicurezza stabilisce le regole di base, tutto qui.

Conclusioni

Adottare un approccio DevOps, o ancora meglio DevSecOps, quindi non è un processo limitato allo sviluppo di applicativi, ma è un processo che comporta un cambio di cultura aziendale.