A cura di Nicola Attico, Solutions Consultant Manager ServiceNow Italy
DevOps. Il nome dice già tutto. Development + Operations. Unendo questi due elementi, i metodi DevOps promettono velocità e agilità e un tempo minore per il go-to-market di nuove iniziative e prodotti software.
E…la sicurezza? Nel termine “DevOps” non compare. Il DevOps è associato all’agilità, mentre la sicurezza deve fare in modo che un nuovo software sia completamente protetto contro le minacce conosciute e le possibili vulnerabilità. Ma non sempre agilità e sicurezza vanno d’accordo.
Forse è per questo che il team di security è stato lasciato al di fuori della definizione originale del DevOps, ma è un errore. Se il DevOps e la security operano come due gruppi completamente separati sono chiaramente in conflitto. Più veloce devono essere i processi DevOps, più la sicurezza del software sarà a rischio e, al contrario, maggiore sarà la sicurezza, più i processi saranno meno agili.
Per fortuna c’è una soluzione. Portando la sicurezza all’interno dello sviluppo DevOps si raggiungono infatti entrambi gli obiettivi: i processi DevOps garantiscono la velocità e l’agilità necessarie mentre la sicurezza si occupa della protezione continua dalle minacce e dalle vulnerabilità.
Come integrare la security nei processi DevOps
Certo, integrare la sicurezza nel DevOps è una sfida. La security è complessa, molte vulnerabilità e minacce vengono scoperte ogni giorno ed è difficile rimanere agili in un simile contesto. Nonostante ciò, i benefici sono maggiori della sfida e vale la pena pensare seriamente a come la sicurezza può essere integrata con successo nel DevOps.
Prima di tutto, integrare la security con l’approccio DevOps significa trasformare processi e pregiudizi radicati. Per esempio, al posto di avere un controllo di sicurezza come ultimo step del processo, questo deve essere eseguito con continuità a partire dal primo giorno in cui si inizia a progettare il software. Si tratta di una sfida difficile, perché richiede l’automazione di attività fondamentali di security.
In secondo luogo, mentre si porta la sicurezza all’interno dei processi DevOps è importante automatizzare le attività più comuni per evitare rallentamenti. Per esempio la scansione dei server, per verificare il rispetto degli standard, può essere automatizzata. Un altro esempio è l’automazione dei test di penetration in modo che i codici non sicuri vengano identificati prontamente.
Oltre a questo, i team di security devono cambiare il modo in cui lavorano. Invece di proporsi come un dipartimento separato devono fare più squadra con gli altri team.
È l’ora dei DevSecOps?
Nessuno è ancora sicuro di come denominare questa nuova combinazione di DevOps e Security, ma a prescindere dal nome è l’ora di integrare la sicurezza nel DevOps e permettere alle aziende di combinare importanti caratteristiche come la velocità e l’agilità del DevOps con le garanzie e la protezione della Security.