Tra chi deve sviluppare applicazioni cloud, molto spesso si sente parlare di DevOps, la metodologia in cui sviluppatori e team operativi collaborano per dar vita a un framework di creazione e deployment del software più agile e snello. Molto meno di frequente si sente, invece, nominare DevSecOps, pratica che mira ad automatizzare le principali attività di sicurezza incorporando controlli e processi nel workflow DevOps. In pratica, l’obiettivo di DevSecOps è quello di rendere la sicurezza parte del flusso di lavoro nello sviluppo del software con le migliori pratiche di codifica sicura e di automazione dei test.
Spostare a sinistra la sicurezza
Questo processo è comunemente indicato come spostamento della sicurezza a sinistra (shift left) cioè all’inizio della codifica, e non a destra, ovvero quando il software è completato. Tale spostamento intende, in un certo senso, mettere fine alle tradizionali dispute su come, quando e dove i controlli di sicurezza possono essere integrati nello sviluppo del software. Infatti, lo spostamento a sinistra è essenziale per aumentare la produttività degli sviluppatori e per integrare la sicurezza fin dall’inizio.
Ciò significa che gli strumenti di sicurezza devono integrarsi perfettamente all’interno dei flussi di lavoro e tra gli strumenti degli sviluppatori, per ottenere un feedback rapido, accurato e fattibile che acceleri e semplifichi la correzione e il triage.
“Va evidenziato che uno degli obiettivi di DevOps è aumentare la velocità con cui il software viene creato – osserva Pierpaolo Alì, Director Southern Europe, CEE & Israel di OpenText Cybersecurity -. Tuttavia, più rapidamente il software va in produzione, più è probabile che non siano sanate eventuali vulnerabilità. In pratica, senza sicurezza incorporata, DevOps potrebbe anche aumentare la superficie di attacco dell’organizzazione a livello applicativo. Per questo motivo il modello di riferimento per lo sviluppo delle applicazioni moderne dev’essere DevSecOps”.
Da DevOps a DevSecOps
In un’implementazione DevOps di successo, la sicurezza dovrebbe essere incorporata. Però, nonostante una delle principali promesse di DevOps sia la collaborazione tra i diversi team aziendali, come quello di sviluppo, IT, delle operation e del controllo qualità, spesso il team di sicurezza è trascurato e non viene incluso in tale collaborazione. Così accade che durante lo sviluppo di frequente si dia per scontato che il team della sicurezza si stia occupando della parte che gli compete, mentre invece non è stato incluso nel processo.
Per questo è importante sottolineare che la sicurezza deve essere è incorporata nello sviluppo e quindi si dovrebbe ricorrere a DevSecOps ricordando che le pratiche e gli strumenti di sicurezza devono essere adattati alle esigenze dei team di sviluppo, nonché agli ambienti, ai linguaggi e ai framework utilizzati da tali team.
Un fattore fondamentale per includere più facilmente la sicurezza nello sviluppo è l’automazione. Diverse ricerche mostrano come le aziende che hanno adottato l’automazione hanno il doppio delle probabilità di implementare in modo efficace i test di sicurezza. Sebbene molte organizzazioni sappiano che c’è bisogno di automazione, e che alcune di esse l’hanno realizzata, c’è ancora un ampio spazio di miglioramento.
La riprova arriva da uno studio di Gartner da cui emerge che, mentre il 95% degli intervistati utilizza l’automazione, solo il 33% automatizza completamente la pipeline di deployment. Inoltre, il 32% delle organizzazioni integra manualmente i propri strumenti di sicurezza.
OpenText Fortify abilita DevSecOps
Per ottenere un adeguato livello di automazione, e quindi facilitare l’affiancamento del DevSecOps al DevOps, si può integrare nell’ambiente di sviluppo aziendale una soluzione come Fortify. Questa consente agli sviluppatori di individuare e correggere eventuali falle di sicurezza in ogni fase della creazione di un’applicazione. In tal modo, si realizza software più sicuro, con maggiore flessibilità e in tempi più rapidi, senza dover scendere a compromessi in termini di qualità per avere scansioni più veloci.
Grazie alle funzionalità SAST (Static Application Security Testing) e DAST (Dynamic Application Security Testing) automatizzati e all’analisi della composizione del software, OpenText Fortify fornisce risultati di altissima qualità e suggerimenti per intervenire nel software in ogni fase del ciclo di sviluppo al fine di inibire ogni vulnerabilità.
Più in dettaglio, SAST identifica la causa principale e aiuta a correggere le falle di sicurezza sottostanti, mentre DAST simula attacchi controllati per identificare eventuali vulnerabilità che possono essere sfruttate per sferrare attacchi alla sicurezza.
OpenText Fortify fornisce anche gli strumenti adeguati a favorire una sicurezza integrata continua nel tempo. Tali strumenti includono un ambiente di sviluppo integrato con template di sicurezza CI, gate di sicurezza automatizzati e riduzione dei falsi positivi. Questi ultimi, vengono definiti a volte come veri e propri killer dell’ambiente DevOps, perché comportano la perdita di molto tempo nelle verifiche. Limitare i falsi positivi vuol dire ottenere un’importante velocizzazione nello sviluppo.