DevOps cambia il modo in cui i team IT organizzano le loro attività. Invece di separare gli sviluppatori e i team di operations in gruppi distinti come avveniva in passato, il paradigma DevOps si concentra su come razionalizzare i cambiamenti e farli entrare in produzione più velocemente.
È essenziale che la sicurezza IT sia coinvolta in questo iter, dato che è troppo rischioso affrontare il tema della sicurezza a posteriori.
Come ci ricorda Marco Rottigni, Chief Technical Security Officer Emea di Qualys, spesso per gli sviluppatori, la sicurezza IT non è prioritaria quando si tratta di creare o integrare applicazioni.
Secondo il Global Developer Report di GitLab, solamente il 25% degli sviluppatori ha valutato la sicurezza della propria organizzazione come “buona”. Al contrario, il 50% ha ammesso che le falle di sicurezza vengono scoperte per lo più dopo il l’integrazione del codice e in fase di test.
Ecco perché i team di sicurezza devono essere coinvolti nel processo di sviluppo del software, per aiutare gli sviluppatori a produrre codice più sicuro e impedire che le vulnerabilità entrino in produzione.
Tuttavia, il modo in cui ciò avviene nella pratica può fare un’enorme differenza su quanto possano essere efficaci questi cambiamenti.
DevSecOps e DevOps Security, le differenze
È questa la ragione per cui un dettaglio apparentemente ininfluente come il nome diventa importante.
Esistono due termini per indicare come la sicurezza viene incorporata in DevOps: DevSecOps e DevOps Security. Per Rottigni si può scegliere l’uno o l’altro, ma è fondamentale riconoscere che non sono intercambiabili.
DevSecOps considera la sicurezza come una fase dell’intera pipeline del software: la cybersecurity interviene quindi nel flusso dallo sviluppo del software alla messa in produzione.
Dall’altra parte, DevOps Security attribuisce alla funzione di sicurezza la responsabilità della sicurezza durante l’intero processo, dall’inizio alla fine. A seconda del vostro team – e di come lavorate con gli altri – questi due approcci avranno vantaggi e svantaggi diversi.
DevSecOps è più veloce da implementare, poiché ha a che fare direttamente con gli sviluppatori e il loro lavoro. Può rendere più facile l’integrazione della sicurezza nel processo di sviluppo se non è presente fin dall’inizio.
Può anche rendere più veloce l’accesso alle nuove build, verificando che siano sicure prima di entrare in produzione, ma può generare un effetto limitante a lungo termine.
Anche se il team di sicurezza può essere coinvolto rapidamente, è vincolato a un tempo e a un ruolo specifico nel processo, piuttosto che essere parte attiva dell’intero iter di sviluppo.
Se un problema si presenta una volta che il progetto software è passato in produzione, allora può essere più difficile da fermare.
Al contrario, DevOps Security implica l’analisi dell’intero processo e di come la sicurezza possa essere integrata in tutte le fasi dello sviluppo e della distribuzione del software. Piuttosto che essere coinvolti in un punto specifico, i team di sicurezza lavorano per rendere la sicurezza disponibile per gli sviluppatori come parte integrante dei loro flussi di lavoro.
Ciò comporta l’integrazione di tutti gli strumenti che riguardano l’analisi delle vulnerabilità, le scansioni o l’infrastruttura di sicurezza nel flusso di lavoro degli sviluppatori.
Questa può essere una richiesta più difficile: dopo tutto, richiede che i team di sviluppo cambino alcune delle loro procedure. Ciò rende tuttavia più facile garantire la sicurezza nel tempo, poiché diventa un processo continuo piuttosto che un singolo stadio dello sviluppo del software.
Rende anche la sicurezza parte della missione dello sviluppatore, piuttosto che essere una barriera da aggirare o superare. Incoraggia anche una maggiore collaborazione nel tempo per migliorare lo sviluppo del software tra tutti i team coinvolti.
DevOps e sicurezza: pensare a lungo termine
Guardando a DevOps e alla sicurezza, per Rottigni è fondamentale entrare nella mentalità degli utenti. Ciò è particolarmente vero per gli sviluppatori: entrare a far parte del loro flusso di lavoro e fornire loro importanti insight già nelle prime fasi del lavoro è importante tanto quanto individuare i problemi di sicurezza.
Aiutando gli sviluppatori a individuare e risolvere i problemi prima della fase operativa di DevOps, i team di sicurezza possono fornire più valore all’intero team IT.
Questo approccio prevede di mettere le informazioni nelle mani degli sviluppatori durante l’intero processo, oltre che spostare a monte i controlli di sicurezza.
Richiederà più lavoro per ottenere la giusta soluzione, ma fornirà un valore molto maggiore agli sviluppatori e all’azienda nel suo complesso. Osservando un approccio alla sicurezza DevOps Security piuttosto che DevSecOps, i team di sicurezza possono usare la loro influenza e la loro esperienza a proprio vantaggio.
