Che cos’è DevSecOps e a cosa serve?

Nel campo dello sviluppo software agile, la sicurezza dei prodotti ricopre un ruolo sempre più importante. Nell’epoca della Continous Delivery e della Continous Integration, tuttavia, il processo di sviluppo diventa una sfida da non sottovalutare. Per questo motivo sempre più aziende ampliano l’approccio DevOps, in cui sviluppo (Development) e operatività (Operations) sono strettamente interconnessi fin dall’inizio, includendo anche la sicurezza (Security): da qui l’abbreviazione DevSecOps. DevSecOps è una soluzione a portata di mano per i problemi che fanno parte della vita quotidiana di molte società di software, che tiene conto in egual misura delle esigenze di velocità di sviluppo e sicurezza.

DevSecOps: una definizione

Grazie a DevSecOps, l’agilità e la possibilità di reagire rapidamente, già previste nell’approccio DevOps, possono essere utilizzate in modo ottimale. Infatti, l’aspetto della sicurezza è preso in considerazione già durante la fase pratica dello sviluppo. Ciò distingue chiaramente il sistema dall’approccio convenzionale, in cui i team di sicurezza forniscono generalmente la protezione adeguata solo dopo il completamento del prodotto.

Qual è il concetto alla base di DevSecOps?

Il metodo DevSecOps ha lo scopo di assicurare la conformità agli elevati standard di sicurezza anche nei metodi di sviluppo rapido e agile di Continuous Delivery e Continuous Integration. I requisiti di sicurezza, spesso molto elevati, devono essere tenuti in considerazione già nella fase di programmazione del funzionamento corrente. Una buona comunicazione tra i reparti di sicurezza, sviluppo e operatività IT è essenziale. Pertanto l’approccio interdisciplinare in questo contesto è cruciale per il successo dell’intero sviluppo.

Perché DevSecOps è così importante

All’aspetto della sicurezza è stata conferita da alcuni anni sempre più importanza nello sviluppo software. Soprattutto in considerazione dello sviluppo rapido, accompagnato da intervalli di tempo sempre più brevi tra le diverse versioni, il rispetto degli standard di sicurezza diventa una sfida sempre più impegnativa. Per molte aziende diventa addirittura una sfida insormontabile quando tale aspetto viene considerato solo in seguito allo sviluppo effettivo. Spesso le aziende si ritrovano a dover scegliere tra un’elevata sicurezza con il conseguente dispendio di tempo e una bassa sicurezza con brevi cicli di rilascio. Molti fornitori scelgono quest’ultima opzione. Tuttavia, DevSecOps offre un’eccellente soluzione per combinare un’elevata sicurezza a brevi cicli di rilascio.

Perché clienti e aziende possono trarre vantaggio da DevSecOps

Le soluzioni precedenti per l’implementazione di importanti funzioni e protocolli di sicurezza non possono essere paragonate alla versione nuova e più veloce dello sviluppo software agile. Solo tramite un’attiva integrazione degli aspetti di sicurezza nella fase di sviluppo del software e la relativa assimilazione nel processo di sviluppo è possibile garantire la sicurezza desiderata anche con brevi cicli di sviluppo e di prodotto. Tuttavia, non tutte le aziende seguono questo approccio. Ciò si può facilmente dedurre dal fatto che la sicurezza di alcuni prodotti è notevolmente diminuita a causa di cicli di versione abbreviati e le varie falle di sicurezza sono spesso chiuse solo provvisoriamente mediante “Day One Patch”.

Se volete affidarvi a un alto livello di sicurezza, dovete essere disposti a un lungo tempo di sviluppo del prodotto oppure affidarvi alla soluzione DevSecOps per ottenere il risultato desiderato.

DevSecOps in pratica: un esempio

Vi illustriamo l’applicazione dell’approccio DevSecOps in un pratico esempio della vita quotidiana di un utente privato. L’app nel nostro esempio riguarda la contabilità familiare e può essere gestita direttamente dallo smartphone. Nell’app, le entrate e le uscite possono essere inserite, categorizzate, visualizzate in diversi colori e valutate. Poiché fino a qui solo una piccola quantità di dati sensibili viene utilizzata a questo scopo, non c’è molto da considerare in termini di sicurezza.

L’applicazione viene ora ampliata con una funzione che consente di scansionare e registrare automaticamente gli scontrini. In questo caso molti dati vanno registrati e valutati sui server ed è per questo che la sicurezza riveste un ruolo importante nella comunicazione e nell’elaborazione. Se l’aspetto della sicurezza viene considerato solo in un secondo tempo, ci vuole un anno e mezzo prima che la funzione possa essere pubblicata in modo sicuro.

Ora dev’essere aggiunta un’altra funzione: integrare le spese attraverso l’online banking direttamente nel sistema. Ciò comporta il trattamento di dati altamente sensibili, per cui l’integrazione di una tale soluzione con i più elevati standard di sicurezza potrebbe richiedere più di un anno. Durante questo periodo la concorrenza guadagnerebbe terreno e il prodotto dell’azienda molto probabilmente non sarebbe più interessante sul mercato.

Invece, se l’aspetto della sicurezza viene preso direttamente in considerazione durante la programmazione e lo sviluppo con DevSecOps, i tempi di rilascio possono essere ridotti enormemente senza compromettere la sicurezza. In molti casi la sicurezza è addirittura migliorata perché può essere integrata direttamente nella fase di programmazione e non viene applicata su una programmazione già esistente sotto forma di kit. In tal modo l’azienda beneficia di cicli di rilascio più brevi e gli utenti di un aggiornamento software costante.

I vantaggi di DevSecOps nello sviluppo

I vantaggi di DevSecOps sono evidenti. Quando un’azienda decide di utilizzare il moderno sistema DevOps per lo sviluppo dei propri prodotti a causa dell’incremento della domanda e di requisiti elevati, spesso si raggiungono velocità inaspettatamente elevate nella produzione e nel rilascio di diverse versioni del proprio software. Tuttavia, durante questo processo, la sicurezza non viene presa in considerazione. Se, come spesso accade, questa viene integrata nel prodotto finito solo alla fine, possono esserci problemi di funzionalità e anche la consegna può essere notevolmente ritardata.

Se l’aspetto della sicurezza viene preso in considerazione mentre il processo di sviluppo è in corso, la situazione è completamente diversa: il processo non rallenta affatto, poiché anche il settore della sicurezza trae vantaggio dalle diverse soluzioni di monitoring e automatizzazione. Inoltre, i vari team di sviluppo e operatività imparano a prendere in considerazione i fattori legati alla sicurezza fin dalla fase di sviluppo, in modo da ridurre notevolmente e da subito eventuali falle. Ciò significa che le versioni software sicure e comunque stabili vengono prodotte in tempi più brevi e possono essere consegnate direttamente ai clienti. In questo modo, tanto i clienti quanto le aziende traggono vantaggio dalle nuove possibilità.

Svantaggi e difficoltà in DevSecOps

Come nel DevOps, anche nel DevSecOps il successo del sistema e la sua efficienza dipendono da quanto i singoli dipendenti e i team sostengono questo nuovo sviluppo. Senza una cultura aziendale aperta e uno scambio tra team e reparti, il concetto DevSecOps non può funzionare con successo. Per questo motivo è importante comunicare apertamente i vantaggi del nuovo sistema e coordinare in maniera adeguata i cambiamenti nei reparti e con i dipendenti.

Se i singoli dipendenti resistono al sistema, rifiutando ad esempio l’inserimento di esperti di sicurezza nel processo di sviluppo effettivo, possono sorgere notevoli difficoltà.

Conclusione: un’abile integrazione offre molti vantaggi

L’integrazione di importanti funzioni di sicurezza è di enorme importanza nello sviluppo software e nelle operazioni IT dirette. Se le misure di sicurezza necessarie vengono prese in considerazione solo dopo lo sviluppo effettivo, non solo si verificano ritardi molto lunghi, ma possono anche insinuarsi errori che non sono più soggetti a un processo di revisione completo. D’altra parte, se l’aspetto della sicurezza è direttamente integrato nello sviluppo software, negli aggiornamenti e nei rilasci ricorrendo al DevSecOps, la durata delle misure di sicurezza è notevolmente ridotta e la qualità migliora sensibilmente anche grazie ai controlli automatizzati. Pertanto, le aziende traggono vantaggio soprattutto quando anziché limitarsi al sistema DevOps, integrano l’area della sicurezza dei dati e del software direttamente nel processo di sviluppo con DevSecOps.

Hai trovato questo articolo utile?
Per offrirti una migliore esperienza di navigazione online questo sito web usa dei cookie, propri e di terze parti. Continuando a navigare sul sito acconsenti all’utilizzo dei cookie. Scopri di più sull’uso dei cookie e sulla possibilità di modificarne le impostazioni o negare il consenso.
Page top