CyberRes, la business unit di Micro Focus dedicata a cyber security e cyber resilienza, fornisce gli strumenti per realizzare applicazioni sicure con tutti i vantaggi di DevOps.
Il numero delle applicazioni e la frequenza di rilascio stanno crescendo in modo vertiginoso, mentre la complessità aumenta e gli sviluppatori cercano di accelerare il loro lavoro affidandosi a librerie open source. Tutto ciò senza contare l’esigenza di confrontarsi con cloud, API, container e molto altro.
In uno scenario di questo tipo non sorprende la crescente affermazione della metodologia di sviluppo software DevOps, termine derivato dalla contrazione dei termini inglesi “development” e “operations”.
Da DevOps a SecDevOps
Con DevOps il team di sviluppo e quello operativo hanno iniziato a lavorare insieme e questo ha consentito di velocizzare lo sviluppo dei software, affiancando al lavoro di progettazione e realizzazione quello di testing e rilascio.
La maggior parte delle aziende considera DevOps un’opportunità per il suo contributo nell’accelerare il rilascio di codice e il recovery da incidenti ma, in questa frenesia di velocizzare, spesso la sicurezza viene esclusa dal processo.
Peraltro, il tema della sicurezza è intrinsecamente complesso ed è spesso guidato dalle esigenze di compliance che non sono al centro dei processi DevOps né dell’interesse degli sviluppatori.
Il risultato è che, oggi, la maggior parte delle applicazioni presenta problemi di sicurezza.
Per introdurre il tema della sicurezza all’interno di DevOps si è cominciato a parlare di SecDevOps. Nel modello SecDevOps entrano con un ruolo importante i temi della cyber security e l’approccio “security by-design” introducendo un nuovo livello di trasformazione che incorpora la sicurezza in ogni stadio della pipeline DevOps e durante l’intero ciclo di vita dell’applicazione.
CyberRes Fortify introduce la sicurezza in DevOps
CyberRes è la business unit che Micro Focus, uno dei principali fornitori di software enterprise al mondo, dedica all’esigenza di garantire la cyber resilienza e una protezione efficace di dati, applicazioni e identità digitali. Uno dei pilastri fondamentale alla base della visione CyberRes per conseguire la cyber resilienza è l’integrazione della sicurezza all’interno del modello di sviluppo DevOps.
“Le applicazioni sono, sempre più spesso, l’anello debole nella catena della sicurezza aziendale e renderle resilienti è un requisito irrinunciabile – spiega Pierpaolo Alì, Director Southern Europe di CyberRes. Per coniugare l’esigenza di un ciclo di sviluppo veloce con la garanzia di rilasciare applicazioni sicure CyberRes Fortify mette a disposizione tutti gli strumenti necessari per realizzare un framework SecDevOps e integrare gli aspetti di sicurezza in tutti le fasi del ciclo di sviluppo e rilascio del software”.
Una soluzione per ogni esigenza di sicurezza applicativa
Le funzionalità di test statico sono fornite da Fortify Static Code Analyzer uno strumento che permette di verificare le vulnerabilità e applicare sicurezza mentre si sta scrivendo il codice, capace di estendersi attraverso le pipeline CI e CD (Continuous Integration e Continuous Delivery) che definiscono il flusso di integrazione e distribuzione del software secondo il modello DevOps.
A partire dalla fase iniziale dello sviluppo CyberRes permette di effettuare il controllo dei rischi e l’impostazione delle policy di sicurezza per il codice open source attraverso gli strumenti di Software Composition Analysis che derivano dalla partnership con Sonatype.
La soluzione Fortify WebInspect fornisce test DAST, con scansione API, supporto per gli strumenti di automazione DevOps e analisi della compliance con gli standard di sicurezza.
Sfruttando l’analisi statica per identificare le vulnerabilità nelle prime fasi dello sviluppo e l’analisi dinamica per identificare le vulnerabilità che si presentano in produzione, i team di sicurezza possono implementare un approccio a più livelli che fornisce maggiore sicurezza.
La combinazione tra strumenti SAST e DAST offerta da Fortify mette, inoltre, a disposizione una tassonomia unificata per i diversi metodi di test che consente una visione completa e coerente sullo stato di vulnerabilità (quantomai utile in un contesto DevOps che coinvolge più team) e che abilita modelli consistenti di “remediation”.
Attraverso la piattaforma Fortify Software Security Center è possibile esercitare una gestione unificata con funzioni di reporting centralizzato, visualizzazione del codice sorgente, gestione DevOps, automazione della sicurezza CI/CD e analisi delle vulnerabilità e strumenti di livello enterprise.
Ultima, ma non per importanza, è Fortify on Demand, la piattaforma di sicurezza applicativa dotata di strumenti di integrazione DevOps, che aggiunge la versatilità di usufruire di tutte queste funzionalità in modalità di servizio.
