Tre best practice DevSecOps da implementare immediatamente

Non importa a che punto sei del tuo percorso verso il DevOps: è il momento di valutare serimente l'approccio DevSecOps. Perché? Perché le aree a rischio non sono mai state così estese. Oggi le applicazioni sono l'obiettivo di sicurezza più grande secondo Amy DeMartine, vicepresidente di Forrester Research, che ha sottolineato che il problema sta peggiorando e non migliorando.

A complicare ulteriormente le cose, la ricerca di Gartner mostra che la spesa IT per la sicurezza è in realtà in calo e ha rappresentato solo il 5,7% del budget totale nel 2019.
E come se tutto ciò non bastasse, c'è una continua confusione all'interno dei team DevOps su quali gruppi siano in realtà "responsabili" della sicurezza. Nel nostro sondaggio globale DevSecOps del 2020, il 33% dei professionisti della sicurezza ha dichiarato di essere gli unici responsabili della sicurezza, ma quasi altrettanti (il 29%) hanno affermato di esserlo tutti.

È il momento di ripensare al modo in cui i team si avvicinano al DevSecOps, partendo da zero. Ecco tre strategie che i team possono implementare immediatamente.

La collaborazione è il segreto del successo di ogni progetto. Coinvolgi i responsabili di progetto e i delegati alla sicurezza. Tieni con loro una riunione (con una lettura preliminare o un piano preliminare) per elaborare una serie di misure di sicurezza che devono essere soddisfatte dal codice scritto per questo progetto e pianifica i test automatizzati che gli sviluppatori dovranno eseguire sul loro codice. Prendere queste decisioni insieme favorirà la fiducia nel processo e incoraggerà il sostegno a una mentalità incentrata sulla sicurezza.

Rob Cuddy di IBM consiglia ai team congiunti di adottare tre importanti punti di comunicazione per migliorare ulteriormente il DevSecOps:
Comunica solo problemi gravi ed evita le distrazioni utilizzando l'intelligenza artificiale e il machine learning per verificare le analisi di sicurezza.
Affronta l'argomento di cui tutti sanno ma di cui nessuno parla: l'open-source. Il codice di terze parti e open-source è onnipresente nello sviluppo software, quindi è fondamentale trattarlo direttamente per ridurre la probabilità di attacchi prevenibili.

Affronta i problemi alla radice e fallo più velocemente: trova e risolvi i falsi negativi prima che vengano sfruttati.

Segui questi passaggi per stimolare una comunicazione diretta, onesta e discreta tra i team: ti aiuterà a costruire e mantenere un livello di fiducia e credibilità fondamentale per un DevSecOps efficiente ed efficace.

Data l'importanza della sicurezza delle applicazioni per il successo aziendale e le risorse limitate a essa destinate, ha senso eseguire test a ogni commit di codice. Idealmente, questi test verranno scritti una volta per soddisfare gli standard del progetto o dell'organizzazione e quindi eseguiti automaticamente a fronte di ogni modifica del codice. Concentra i test sulle aree all'interno dell'applicazione che forniscono la massima copertura ma richiedono una manutenzione minima. I team devono analizzare il codice da ogni livello strutturale per cercare problemi che influiscono sulle prestazioni operative di un'app. Il codice deve essere sicuro, robusto, efficiente e di facile manutenzione.

Le misure preventive come SAST e l'analisi delle dipendenze faranno risparmiare tempo nelle fasi successive riducendo il numero di difetti del codice prima che questo venga sottoposto a merge e aiutando gli sviluppatori a capire in che modo le modifiche influiranno su altre aree dell'applicazione. Stabilire prima i criteri dei test aiuterà anche gli sviluppatori a migliorare la qualità complessiva del loro codice, fornendo standard a cui fare riferimento e da raggiungere durante la scrittura del codice.

L'applicazione dei risultati del test come rinforzo negativo non è una pratica costruttiva. Oltre alla correzione, i risultati possono essere sfruttati in due modi:
Il singolo sviluppatore dovrebbe utilizzare i risultati per imparare a produrre codice di qualità superiore.

A livello di gruppo, i risultati dei test dovrebbero essere analizzati per individuare modelli nelle pratiche di programmazione che è possibile migliorare e che andrebbero utilizzati per creare standard che contribuiranno a migliorare la qualità del codice in tutto il team o nell'organizzazione.

In che modo un programma di esperti della sicurezza può migliorare il DevSecOps

Come GitLab rende possibile il DevSecOps

Comprendere il panorama DevSecOps