Cos'è la sicurezza "developer-first"?

Un recente sondaggio di Forrester Research, "Breaches By The Numbers: Adapting To Regional Challenges Is Imperative" del 12 aprile 2022, ha rilevato che il 63% delle aziende ha subito violazioni nell'ultimo anno, il 4% in più rispetto all'anno precedente. Ed è importante rendersi conto che il codice è ora l'obiettivo primario degli hacker, piuttosto che l'infrastruttura. A complicare ancora di più le cose, alcune stime suggeriscono che quasi il 60% delle applicazioni è costituita da codice open-source, e altri rivedono queste stime all'80% o 90%. È intrinsecamente più probabile che il codice open-source contenga vulnerabilità e codice dannoso rispetto a quello generato da zero, ma è una scelta comprensibile per gli sviluppatori impegnati che vogliono fornire codice di qualità con scadenze sempre più strette.

Per anni, la sicurezza è stata parte di un'organizzazione separata che interveniva dopo il commit del codice, trovava problemi di sicurezza e richiedeva le modifiche agli sviluppatori (forse non sorprendentemente) riluttanti, che erano già passati al progetto successivo. La sicurezza non era solo un aspetto secondario, ma un'esperienza imposta dall'alto verso il basso, da persone lontane dai problemi tipici degli sviluppatori. Non è difficile capire perché questo approccio sia stato una delle principali fonti di frustrazione per tutti i soggetti coinvolti.

L'obiettivo del DevSecOps era quello di sfruttare l'indebolimento dei silo che si era verificato con l'implementazione del DevOps (ora Dev, Ops e sicurezza fanno parte di un unico processo). È ancora presto per dirlo, ma il nostro sondaggio DevSecOps globale del 2022 ha mostrato segnali promettenti: quasi il 29% dei professionisti della sicurezza ha dichiarato di far parte di un team di sicurezza interfunzionale, e il 57% dei membri del team di sicurezza ha affermato che la propria azienda ha adottato un approccio Shift Left per la sicurezza o sta pianificando di farlo quest'anno.

Rimangono comunque attriti tra sviluppatori e team di sicurezza, ma ci sono segnali che le relazioni stiano migliorando. Nel 2022 un numero inferiore di professionisti della sicurezza si è lamentato della tardiva identificazione delle vulnerabilità nel ciclo di sviluppo software o della difficoltà di convincere gli sviluppatori ad affrontare i rischi per la sicurezza.

Per quanto riguarda gli sviluppatori, oltre la metà dichiara di essere "pienamente responsabile" della sicurezza nell'azienda, mentre un altro 39% afferma di sentirsi responsabile della sicurezza come parte di un team più ampio.

Per rompere quello che sembra un circolo vizioso, secondo gli esperti è il momento di iniziare a pensare alla sicurezza a livello contestuale o secondo un approccio "developer-first". In poche parole, la sicurezza "developer-first" offre uno strumento di sicurezza "a misura di sviluppatore" che risiede nell'IDE e che consente agli sviluppatori di trovare e risolvere i problemi di sicurezza in modo indolore. Idealmente, questi controlli sono automatizzati, evitando di dover pensare ai requisiti di sicurezza per creare codice sicuro: il processo avviene naturalmente come parte della programmazione.

Il segreto del successo della sicurezza "developer-first" è un cambiamento di prospettiva da entrambe le parti. I professionisti della sicurezza devono ricordare che gli sviluppatori svolgono più mansioni (programmazione, test, sicurezza e persino alcune funzioni operative). Detto questo, è fondamentale che i professionisti della sicurezza dedichino del tempo a capire cosa viene chiesto agli sviluppatori (e magari imparino anche a programmare) per fornire la formazione, l'incoraggiamento e l'empatia necessari. Allo stesso tempo, gli sviluppatori devono essere aperti a un cambiamento di processo ed entusiasti dell'opportunità di contribuire alla sicurezza del codice in modo significativo.

Introdurre le prassi di sicurezza nel team di sviluppo, garantire che i team abbiano il giusto mix di competenze e creare un ambiente di collaborazione contribuirà nettamente alla sicurezza "developer-first".