Abbiamo parlato svariate volte della metodologia DevOps, di cosa sia e di come essa coinvolga i team di sviluppo e quello delle IT Operations. Nello scenario attuale le aziende si trovano a dover accorciare i cicli di sviluppo applicativo effettuando un continuo aggiornamento dello stesso, al fine di offrire un servizio aggiornato e di qualità al cliente nel minor tempo possibile. Ma affinché l’approccio DevOps porti davvero questi vantaggi all’interno di un’organizzazione, è fondamentale garantire alti livelli di sicurezza lungo tutto il ciclo di vita di un’applicazione.
Come fare quindi in modo che la security pervada tutte le fasi del ciclo di sviluppo garantendo allo stesso tempo l’agilità, la rapidità di sviluppo e la qualità del codice tipiche della metodologia DevOps? È proprio questo che fa l’approccio DevSecOps, integrando la sicurezza fin dall’inizio del processo di sviluppo, facendo in modo che i Team di Development e di IT Operations collaborino attivamente per garantire alti standard di sicurezza e automatizzando i controlli al fine di identificare eventuali minacce il prima possibile e agevolare l’implementazione della metodologia DevOps.
Ci sono tre termini che aiutano a dare una definizione di DevSecOps: Security by Design, Shift -Left approach e Security as Code.
Se una volta l’aspetto della sicurezza veniva affrontato solamente alla fine del processo di sviluppo applicativo e messa in produzione, oggi è fondamentale che la security sia garantita fin dall’origine della progettazione di un applicativo – da qui il concetto di Security by Design, Shift-Left Approach o Security as Code. Questa rivoluzione permette di adattare poi tutto il processo di deployment a specifiche necessità di sicurezza identificate. Unendo a tutto ciò le dinamiche di collaborazione tra team, integrazione delle competenze in ambito sicurezza, sviluppo applicativo e operations, nonché l’efficienza dei processi propri della metodologia DevOps capiamo come si generi l’approccio DevSecOps.
DevSecOps e cultura aziendale
Così come la metodologia DevOps, anche l’approccio DevSecOps porta con sé un cambiamento culturale all’interno dell’azienda, in quanto prevede una condivisione di competenze tra i team di Sicurezza, di Sviluppo e di IT Operations. Il team di Sviluppo e il team infrastrutturale dovranno nello specifico formarsi su tematiche di security e collaborare con il relativo team per poter formulare delle strategie di sviluppo applicativo dove il codice e l’infrastruttura sottostante risultino privi di minacce e continuamente monitorati per garantire elevati standard di sicurezza.
Come applicare concretamente l’approccio DevSecOps in azienda?
Dopo aver analizzato insieme il significato di DevSecOps, andiamo a vedere come poter metter in pratica tale approccio nella realtà aziendale. Di seguito elenchiamo nello specifico alcune pratiche che noi suggeriamo:
- Abilitare la collaborazione tra i team e standardizzare i tool e le procedure.
- Formare i team di Developer e Sistemisti sui temi della Sicurezza e fare in modo che quest’ultima diventi la priorità per entrambi.
- Automatizzare il ciclo di vita applicativo attraverso pratiche di Continuous Integration e Continuous Delivery al fine di creare processi standard e ripetibili e semplificare la collaborazione tra i team.
- Utilizzo di pratiche e tool di Security Automation, come ad esempio il testing automatizzato o gli aggiornamenti di sicurezza automatici, al fine di identificare eventuali minacce in modo semplice e immediato in ogni fase del ciclo di vita applicativo e di far risparmiare tempo ai team di sviluppo e di Operations.
- Applicare l’approccio DevSecOps in modo graduale, prima su alcuni progetti e valutarne l’efficacia; in seguito scalare a progetti più grandi e strutturati.
- Successivamente, scalare l’approccio DevSecOps utilizzando l’approccio Cloud Native, ovvero attraverso tecnologie come i container, Kubernetes, l’utilizzo del Public Cloud, garantendo sempre la sicurezza di queste tecnologie attraverso tool integrati.
I responsabili IT si stanno sempre più rendendo conto dell’importanza della Security all’interno del ciclo di vita del software, e l’approccio DevSecOps si sta diffondendo a macchia d’olio in questo ultimo periodo. Secondo la Survey condotta da GitLab nel 2021 sul DevSecOps il 72% dei professionisti in ambito security ha riferito che nel 2021 all’interno delle proprie organizzazioni gli sforzi in ambito sicurezza sono stati "buoni" o "forti". Questo è un cambiamento significativo rispetto allo scorso anno, in cui solo il 59% ha dichiarato questa cosa.
E la tua azienda come sta affrontando questa trasformazione?
Noi di Kiratech abbiamo focalizzato un’intera area aziendale sulla Security: AKIT. Per implementare al meglio l’approccio Cloud Native è fondamentale adottare specifiche pratiche a sostegno della sicurezza informatica. AKIT include i nostri servizi per la Security che si focalizzano su questi aspetti.
Scopri di cosa si tratta e parla con un nostro esperto per approfondire.
Img credits: Blu vettore creata da vectorjuice - it.freepik.com
