Abstract: Monitorare gli sviluppatori senza rallentarli né inibirli è la nuova sfida che il team devops si trova ad affrontare: sottovalutare i rischi per la sicurezza è l’errore da non fare.
L’innovazione, la rapidità di esecuzione e l’ottimizzazione dei processi sono spesso considerati preponderanti sulla sicurezza, che rischia di essere riconosciuta come requisito fondamentale per il successo del progetto senza tuttavia essere centrale nello sviluppo.
I reparti IT, dediti a rispondere con velocità alle esigenze migliorative continuamente richieste per la soddisfazione dell’utente, rischiano di non porre la dovuta attenzione al tema della sicurezza.
Quasi un programmatore su tre ammette di essere a conoscenza della vulnerabilità dei codici che inserisce nel software in via di sviluppo.
Riconoscere il valore aziendale della sicurezza
Ad un maggior riconoscimento del valore aziendale della sicurezza consegue un incremento degli investimenti stanziati per raggiungerlo, sia in termini di personale, che di tempo, che finaziari.
Al team di sviluppo software possono essere chiesti continui aggiornamenti sullo stato di sicurezza del progetto senza che ciò sia visto come tempo tolto allo sviluppo o, peggio ancora, come una perdita di tempo.
Al contrario, tempo ed energie necessarie a monitorare e a testare la sicurezza del software verrebbero considerati un investimento fruttuoso.
I team più avanzati fanno affidamento ad automatismi complessi, ad esempio quelli sviluppati grazie alle piattaforme AiOps, ma le stime di applicazioni di questo tipo risultano ancora percentualmente bassa.
Per tutti gli altri, però, spesso il numero di esperti di sicurezza è ancora sottostimato rispetto alle esigenze che ne avrebbe il team IT.
Coinvolgere esperti di Cybersecutity
Le minacce alla sicurezza crescono e si moltiplicano ad impressionante velocità. Affidarsi a veri esperti, alla loro tecnologia già testata e in continuo aggiornamento può essere la scelta vincente per mettere al sicuro il proprio progetto.
Sono migliaia i potenziali partner esperti in sicurezza reperibili negli elenchi ufficiali. Non sono le risorse quindi ad essere scarse, talvolta è la mancanza di centralità nell’affrontare la questione nel più ampio progetto IT.
Che il tema sia quanto mai di attualità lo dimostrano anche gli sforzi che i colossi stanno concentrando nell’ambito della Cyber Security, come Google, con il recente lancio di Open Source Vulnerability.
Rendere InfoSec trasversale
Esistono standard Infosec ai quali i CISO e CISM delle aziende possono far riferimento negli aggiornamenti del team. Rendere questi controlli continuativi e trasversali a tutti i processi, aumentando le interazioni tra i vari reparti del team devops, può favorire l’aumento delle garanzie di sicurezza.
La centralità di Infosec fin dalle primissime fasi dello sviluppo può contribuire a evidenziare le criticità prima che vengano assorbite nel progetto più ampio e diventino difficili e dispendiose da gestire.
A parole, la quasi totalità degli sviluppatori è coinvolta in Infosec. I dati rilasciati dai sondaggi indipendenti svelano invece una diversa realtà.
L’importanza della pipeline CI/CD
Ridurre i costi, ridurre la complessità, evidenziare le criticità con anticipo: questi sono solo alcuni dei vantaggi raggiungibili con l’implementazione di una pipeline CI/CD corretta e completamente automatizzata.
Sensibilizzare l’intero team sul test continuo della sicurezza, attraverso una pipeline CI/CD, non solo sposta a sinistra il processo che porta all’evidenza, e quindi alla soluzione, del rischio sicurezza, ma rende anche il team maggiormente attivo e competente sul tema.
Comments are closed.