DevSecOps: la sicurezza è responsabilità di tutti

Le soluzioni di sicurezza devono evolvere verso un nuovo paradigma di architetture flessibili, resilienti e basate sul cloud, in grado di fornire servizi di sicurezza scalabili.

DevOps

3 Dicembre 2021


Condividi :

| |

Dopo un anno particolarmente segnato da attacchi informatici, la necessità di imitare l’esposizione alle vulnerabilità nel software di terze parti è diventata impellente. Come si fa a ridurre questo rischio?
È qui che entra in gioco l’adozione dell’approccio DevSecOps, un approccio strategico che cerca di eliminare le divisioni tra software, sicurezza e team operativi, integrando la sicurezza all’interno del ciclo di vita dello sviluppo software.

Lo sviluppo tradizionale

Quando un team, separato, di cybersecurity lavora al di fuori dei confini del ciclo di sviluppo del software tradizionale, è più facile che la sicurezza diventi un problema considerato alla fine.  Il team di sviluppatori progetta il prodotto senza considerare le politiche di sicurezza, mentre il team security promuove le politiche di security senza preoccuparsi delle nuove funzionalità implementate o del time-to-market. L’attrito mette i due gruppi in contrasto invece di favorire una partnership che integra la sicurezza nella fase di sviluppo del prodotto, evitando la presenza di vulnerabilità che i cybercriminali possono sfruttare.

Riorientare la cultura aziendale verso un approccio DevSecOps

Per adottare una metodologia di lavoro DevSecOps occorre innanzitutto “riorientare” la cultura aziendale e per fare ciò sarà necessario:

1. Rendere la sicurezza una responsabilità di tutti. 

Il team DevSecOps dovrebbe fungere da ponte tra il team che si occupa di cybersecurity e gli sviluppatori del prodotto e riferire al Chief Technology Officer (CTO) o al Chief Product Officer (CPO). Il team dovrebbe essere costituito sia da dipendenti che eventualmente anche dai fornitori che hanno la conoscenza delle applicazioni, le competenze tecniche e l’esperienza di sviluppo per affrontare i requisiti del prodotto e rivedere il codice sorgente del software. I membri del team security possono garantire che vengano seguite le best practice. 

2. Abbracciare l’automazione e il monitoraggio. 

Investite nelle risorse, nelle competenze e negli strumenti specializzati per automatizzare il più possibile il processo di sviluppo e di test. Automatizzare la scansione del codice e i segmenti critici del processo di continuous integration e continuous delivery (CI/CD) ridurrà la possibilità di errore umano. Le pratiche DevSecOps dovrebbero includere la creazione di cicli di feedback che vi permetteranno di effettuare rapidamente il reverse engineering di una vulnerabilità di sicurezza per capire come è stata introdotta nel codice e qual è il suo scopo.

3. Investire in formazione e consapevolezza. 

Promuovete l’importanza di seguire le best practice di cybersecurity costruendo una cultura aziendale in cui la sicurezza ha la priorità e viene vista come una risorsa aziendale invece che un peso. È importante organizzare con regolarità sessioni di formazione a livello aziendale e promuovere la comunicazione aziendale per aumentare la consapevolezza della sicurezza. 

4. Standardizzare strumenti e processi. 

Formalizzare un ambiente di sviluppo integrato standard (IDE)  e una serie di strumenti automatici di scansione e monitoraggio per garantire che il codice sia costantemente monitorato e che i potenziali punti ciechi siano identificati e risolti il più rapidamente possibile. 

Perché DevSecOps

La metodologia DevSecOps implica l’integrazione della sicurezza fin dal principio, garantendo un flusso di lavoro veloce ed al contempo sicuro. La sicurezza non è pensata in un “secondo momento”, e non diventa un ostacolo all’agilità del progetto, ma al contrario garantisce una consegna veloce e sicura del codice. Se la sicurezza è integrata dall’inizio del ciclo di vita dello sviluppo del software possiamo rintracciare i problemi e le vulnerabilità prima della messa in produzione, evitando un ciclo di vita più lungo. Le soluzioni di sicurezza devono evolvere verso un nuovo paradigma di architetture flessibili, resilienti e basate sul cloud, in grado di fornire servizi di sicurezza scalabili.

L’adozione di DevSecOps ha inoltre il potere di dare all’azienda un vantaggio competitivo, posizionandola come un partner più affidabile e fidato rispetto alla concorrenza.

Da chi è costituito il team DevSecOps?

Il team DevSecOps può essere costituito da membri del team interni all’azienda ma anche da da fornitori terzi che hanno la conoscenza, le competenze tecniche e l’esperienza di sviluppo per affrontare i requisiti del prodotto e rivedere il codice sorgente del software.

Servizio

Consulenza DevOps

Possiamo aiutarti a formare il tuo team DevSecOps interno, oppure affiancarti come partner nei tuoi progetti.

Approfondisci