DevSecOps ha l’obiettivo di automatizzare il processo di sviluppo, test e distribuzione del software integrando la sicurezza fin dall’inizio nel ciclo di sviluppo con l’obiettivo di ridurre i tempi di sviluppo migliorando qualità, affidabilità, stabilità, sicurezza e produttività .
In sintesi, DevSecOps indirizza la necessità di accorciare le distanze tra quello che il mercato aspetta e quanto la produzione è in grado di rilasciare.
Strategie e Pratiche per un’Integrazione Efficace di DevSecOps
L’integrazione dei principi di DevSecOps all’interno di un’azienda richiede più di un semplice impegno. È un cambiamento culturale e operativo che deve essere affrontato con un approccio strategico e consapevole. Esamineremo le prime mosse strategiche che un’azienda dovrebbe compiere per abbracciare con successo DevSecOps e come queste pratiche possono essere implementate nel ciclo di vita dello sviluppo software.
Per Massimo Sporchia “l’approccio DevSecOps dovrebbe essere considerato come un cambiamento culturale (le persone) tanto quanto come strumento e processo. Un esempio: i silos dovrebbero essere abbattuti stabilendo KPI condivisi orientati al business e trasversali ai diversi dipartimenti/settori ” . Sempre secondo Massimo Sporchia, bisognerebbe chiedersi “perché DevSecOps? Ci sono delle difficoltà con i tempi di rilascio? Necessaria maggiore precisione?”. Infine , conclude Massimo Sporchia “non si può pensare che lo strumento possa indirizzare tutti i problemi, il tutto dipenderà da come lo strumento viene utilizzato, quindi il focus dovrebbe essere sul mindset e permettere a tutti di contribuire “
Conoscenza approfondita e formazione
Un approccio strategico richiede una comprensione approfondita dei principi di DevSecOps. Questo significa investire nella formazione e nella sensibilizzazione del personale sul tema, nonché sulle tecnologie di automazione da utilizzare. È essenziale che tutti i membri del team siano consapevoli delle minacce collegate al cybercrime e comprendano l’importanza di integrare la sicurezza nelle prime fasi dello sviluppo software.
“Un elemento chiave nella promozione di una cultura di sicurezza è il contributo di organizzazioni come l’Open Source Security Foundation (OpenSSF)” – aggiunge Edoardo Dusi, Developer Relations Engineer presso SparkFabrik “Con i suoi programmi di divulgazione e la creazione di tool dedicati, OpenSSF si dedica a migliorare la sicurezza dell’intera software supply chain Open Source (che oggi costituisce la quasi totalità del software globale). Attraverso lo sviluppo e la promozione di tool come Scorecard, Sigstore o SLSA, OpenSSF si impegna a integrare pratiche di sicurezza robuste in tutte le fasi del ciclo di vita del software. Inoltre, OpenSSF offre programmi di training che sono essenziali per la formazione del personale e lo sviluppo delle competenze aziendali, assicurando che le best practice siano comprese e implementate efficacemente da tutti i membri del team”.
Shift left
L’adozione delle pratiche di “shift left” implica l’integrazione della sicurezza nelle prime fasi dello sviluppo software. Questo approccio mira a identificare e risolvere le vulnerabilità il prima possibile nel ciclo di vita dello sviluppo, riducendo così il costo e il rischio associato alla loro risoluzione tardiva. Inoltre, l’implementazione di controlli di sicurezza automatizzati lungo l’intero processo di sviluppo e rilascio del software, come parte di una strategia di integrazione continua e distribuzione continua (CI/CD), è essenziale per garantire la sicurezza del prodotto finale.
“Nello shift left è fondamentale adottare i principi di platform engineering” afferma Paolo Platter, CTO e Founder di Agilelab “ costruendo una piattaforma che porti automazione e enforcement direttamente nel ciclo di sviluppo dei team . Questa piattaforma da un lato deve rendere semplice e automatica l’adozione delle best practice in campo devsecops, creando golden path. In seconda battuta è importante spostarsi da un approccio basato su guideline ed evangelizzazione, ad uno incentrato sulla costruzione di veri e propri guardrails che impediscano ai team di sviluppo di commettere errori e di convivere con queste nuove responsabilità più serenamente.”
Collaborazione e comunicazione
La collaborazione tra team è fondamentale per il successo di DevSecOps. È importante che i team di sviluppo, sicurezza e operazioni lavorino insieme per identificare e mitigare i rischi alla supply chain software. Il CTO e il CISO devono collaborare strettamente per garantire che la sicurezza informatica sia integrata in tutte le fasi del ciclo di vita del software e dell’infrastruttura IT. Questa collaborazione può includere la definizione di politiche di sicurezza, la valutazione e la mitigazione dei rischi e la risposta a eventuali incidenti di sicurezza.
Cultura di sicurezza e formazione continua
Il CTO può promuovere una cultura di sicurezza all’interno dell’azienda, che includa la formazione continua sui rischi della supply chain software. Questo può essere ottenuto attraverso programmi di formazione e sensibilizzazione sulle pratiche di sicurezza e sulle minacce informatiche emergenti. È importante che tutti i membri del team siano consapevoli delle best practice di sicurezza e siano in grado di identificare e mitigare i rischi associati alla supply chain software.
Secondo Massimo Sporchia, “Avere i processi giusti e la visibilità sull’intero stack per consentire ai CISO e al personale della sicurezza di far rispettare attivamente le conformità basate su una matrice di rischio ben definita e condivisa. “
Integrazione di AI e LLM
L’integrazione di intelligenza artificiale (AI) e Large Language Models (LLM) nei processi di DevSecOps può migliorare la sicurezza ed l’efficienza dello sviluppo software. L’AI può essere utilizzata per automatizzare il rilevamento e la risposta alle minacce informatiche, mentre i LLM possono essere impiegati per assistere nello sviluppo e nel testing del software. L’evoluzione dei LLM nei prossimi anni potrebbe portare a una maggiore automazione e ad una migliore comprensione delle minacce informatiche, consentendo alle aziende di sviluppare software più sicuri ed efficienti.
In conclusione, l’integrazione dei principi di DevSecOps all’interno di un’azienda richiede un approccio strategico, la collaborazione tra team e una cultura di sicurezza solida. Solo attraverso un impegno continuo e una consapevolezza dei rischi associati alla supply chain, le aziende possono garantire la sicurezza e l’efficienza dei loro prodotti e servizi digitali.