Home Software Sviluppo Sviluppo software, come aumentare la sicurezza della supply chain

Sviluppo software, come aumentare la sicurezza della supply chain

Già da alcuni anni, nell’ambito dello sviluppo software, si parla di difendersi dai cosiddetti supply-chain attacks, mette in evidenza la società di consulenza tecnologica globale Thoughtworks.

Thoughtworks ha di recente rilasciato il 26° volume del Technology Radar, un report semestrale frutto delle osservazioni, delle conversazioni e dell’esperienza in prima linea di Thoughtworks nel risolvere le sfide aziendali più critiche per le aziende clienti.

Uno degli spunti principali della nuova edizione del report è che ora sono disponibili nuove tecnologie che le aziende possono adottare per difendersi, come parte di una strategia di security-in-depth, sia in ambienti di produzione che non.

Nel maggio 2021, la Casa Bianca ha pubblicato un ordine esecutivo per migliorare la cybersecurity della nazione, che parla fra l’altro di migliorare la sicurezza di tutta la cosiddetta supply chain del software, vale a dire l’insieme di meccanismi che permettono agli sviluppatori di importare componenti software di terze parti.

Le aziende hanno compreso che scrivere codice sicuro non è più sufficiente: è necessario innalzare il livello di attenzione e la comprensione dei rischi legati alla sicurezza della supply chain e investire in pratiche di progettazione più consapevoli, come ad esempio la validazione e la governance delle dipendenze dei progetti.

Checklist e standard come il Supply Chain Levels for Software Artifacts (SLSA) sono nuove voci di questa edizione del Radar di Thoughtworks, prova che esistono nuovi strumenti per affrontare concretamente questi problemi.

I temi in evidenza nel 26° Volume del Technology Radar di Thoughtworks sono i seguenti.

Innovazioni nella supply chain del software

Gli hacker stanno sfruttando la natura asimmetrica dell’attacco e difesa – per chi attacca è sufficiente identificare una vulnerabilità, mentre chi si difende deve mettere in sicurezza l’intera superficie di attacco – impiegando tecniche di hacking sempre più sofisticate. Il miglioramento della sicurezza della supply chain è una parte fondamentale della risposta agli attacchi per le aziende che vogliono mantenere sicuri i loro sistemi.

Il bizzarro bazar: come cambia l’economia del software open source

Il software open source migliora l’agilità degli sviluppatori e genera in crowdsourcing sia innovazione che correzione di bug. I molteplici approcci alla commercializzazione e al supporto del software open source dimostrano l’immensa complessità economica dell’attuale ecosistema.

La gestione dello stato in React viene continuamente reinventata

Quando un framework diventa diffuso, è normale assistere al fiorire di un ecosistema di strumenti, migliorie e potenziamenti, seguito infine dal consolidamento su pochi strumenti di successo. Tuttavia, la gestione dello stato in React sembra resistere a questa tendenza comune.

La perenne ricerca di un master data catalog

Il desiderio di valorizzare il più possibile il patrimonio di dati aziendali continua a spingere gli investimenti. Il rinnovato interesse per il consolidamento di tutte le informazioni su dati e metadati in unico catalogo a livello aziendale, sta portando a un’ondata di nuovi sofisticati prodotti, che offrono sempre più funzioni di governance, gestione della qualità e controllo dell’accesso ai dati stessi. In contrasto con questa tendenza c’è una crescente spinta, sostenuta dall’adozione di architetture data-mesh, verso una gestione più federata sia della governance che della raccolta e dell’accesso ai dati e ai metadati.

I commenti di Thoughtworks

La dott.ssa Rebecca Parsons, chief technology officer di Thoughtworks, ha detto: “Una convergenza di eventi, sia casi pubblici di gravi violazioni di sicurezza, che decreti governativi, ha aumentato l’attenzione che le aziende danno alla complessità ed all’ampiezza dell’ecosistema della supply chain del software.

Molte organizzazioni si concentrano sui sistemi in produzione, ma è altrettanto fondamentale avere lo stesso livello di controllo sugli ambienti di testing, sandbox e cloud. Può sembrare difficile, ma abbiamo oggi a disposizione strumenti concreti e pratiche di engineering che aiutano le aziende a gestire e automatizzare la sicurezza della supply chain, come parte del processo per la sicurezza dei sistemi“.

Thoughtworks
Matteo Vaccari, head of technology di Thoughtworks Italia

Matteo Vaccari, head of technology di Thoughtworks Italia, ha affermato: “Un tema sottostante a molti ‘blip’ di questa edizione è il fermento intorno a continuous integration e continuous delivery.  Assistiamo a un graduale ma continuo miglioramento del tooling; c’è da sperare che le aziende adottino insieme al tooling un processo efficace che vada al di là dell’adozione di un tool; mi riferisco in particolare al fatto che branch di lunga durata sono ancora purtroppo largamente usate.

Trovo anche importante l’idea che le Single Page Application non debbano essere considerate l’unica maniera di realizzare applicazioni web; ci sono tecnologie alternative come Htmx e Turbolinks che in molti casi possono portare a ottimi risultati con un costo di adozione significativamente minore”.

Alessandro Confetti, technical principal di Thoughtworks Italia, ha spiegato: “Con l’avvento del cloud computing, raccogliere e processare grandi quantità di dati non rappresenta più una sfida tecnologica, e qualsiasi azienda (non importa quanto piccola) ha ormai accesso agli stessi strumenti che hanno fatto la fortuna dei giganti digitali.

Ricavare da questi dati le informazioni che servono resta invece il problema a cui tutti cercano ancora oggi di dare una risposta. Il data mesh nasce proprio come risposta a questa sfida, soprattutto dove la complessità delle informazioni e delle organizzazioni richieda un cambio di paradigma ed il passaggio da rigide strutture organizzative e tecnologiche centralizzate a più flessibili soluzioni distribuite e decentralizzate“.

Leggi tutti i nostri articoli sullo sviluppo software

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

Iscriviti alla newsletter

css.php