Sviluppatori, esperti di sicurezza, reparto IT: tutti devono collaborare per creare software davvero sicuro. Un concetto che si concretizza nel DevSecOps, un modo moderno e veloce per arrivare dall’idea alla produzione senza correre rischi
Affinché la sicurezza informatica diventi concretamente un elemento strategico per l’azienda, è necessario che lo sviluppo del software possa implementare principi e best practice di sicurezza fin dalla progettazione e lungo tutto il ciclo di programmazione che termina con il deployment. Per questa esigenza l’Agile development del DevOps si è fuso con la Security, dando vita al DevSecurityOps.
Il recente regolamento GDPR (Regolamento europeo per la protezione dei dati personali dell’Aprile 2016), inoltre, impone ai soggetti titolari del trattamento dei dati, l’adozione di misure tecniche ed organizzative che possano prevenire eventuali trattamenti illeciti. L’articolo 25 in particolare introduce ed obbliga i principi di privacy by design e privacy by default, per prevedere strumenti a tutela dei dati personali fin dalla fase di avvio di progetti informatici. Di conseguenza si verifica la necessità di un maggiore coinvolgimento dei gruppi di progettazione, sviluppo, deploy e test del codice, verso le tematiche e le tecniche di sicurezza informatica perché possano essere adottate come ulteriore requisito di qualità dei programmi applicativi.
Con questo specifico intento nasce il DevSecOps, un approccio per integrare la sicurezza nel processo di sviluppo, distribuzione e test del software, che sottolinea e richiede la collaborazione tra tutti i gruppi di sviluppo aziendali con l’obiettivo di ridurre il time to market delle soluzioni software di security, migliorando “l’agilità” di sviluppo e il rollout. Si tratta di una versione verticalizzata sulla security del processo “Agile” di DevOps (contrazione fra “Development”e “Operations” n.d.r.) che rappresenta a sua volta una metodologia di sviluppo del software orientata alla comunicazione, collaborazione e integrazione tra sviluppatori e addetti alle operations dell’information technology (IT).
Le basi del DevSecOps
Concepito da esperti di security dedicati all’integrazione dei principi di sicurezza nelle pratiche DevOps e Agile, il DevSecOps ha l’obiettivo principale di “garantire la sicurezza dei dati” e di portare gli individui ad un alto livello di competenza nella sicurezza in un breve periodo di tempo: poiché la sicurezza è una responsabilità di tutti. Dalla sua creazione l’approccio continua ad evolvere mediante processi e pratiche per supportare la continua innovazione tecnologica nello sviluppo del software, coniugandola alle tecniche ed esigenze di sicurezza informatica. Il fulcro del DevSecOps è racchiuso in nove principi che ne costituiscono il Manifesto fondante e che sono sostanzialmente improntate alla pro-attività, all’approccio preventivo e collaborativo, alle verifiche puntuali, alla condivisione di informazioni e naturalmente alla piena conformità.
Durante la recente DevSecOps RSA Conference 2017 di San Francisco, Alan Shimel (esperto di sicurezza informatica e redattore capo di DevOps.com) ha sottolineato come questa nuova pratica sia una grande opportunità per ottenere la “giusta sicurezza”: ovvero quella in cui si può realmente introdurre ogni requisito e misura di sicurezza all’inizio del ciclo di sviluppo del codice e poter affrontare qualsiasi problema in modo preventivo.
Il DevSecOps integra misure di sicurezza nella filosofia dello sviluppo e del deployment automatizzato. L’allineamento fra il DevOps e il mondo della sicurezza informatica dovrebbe anche permettere di ottimizzare il risk management, accelerare l’individuazione di falle di sicurezza, automatizzare e orchestrare i cambiamenti necessari nei processi dei servizi di sicurezza. Il fine ultimo di questa modalità dinamica e sicura di gestire codice, infrastrutture e deployment, è la maggiore responsabilizzazione e condivisione della sicurezza su tutta l’organizzazione aziendale che diventa così una salda componente nelle tappe dei processi di sviluppo, non più un rimaneggiamento successivo.
Dalla teoria alla pratica
Gartner fin da novembre 2016 definisce il DevSecOPs come un “mainstream trend” per gli anni successivi, tenendo aggiornato il report on DevSecOps. A conferma delle previsioni di Gartner, CA Technologies ad inizio 2017 annuncia di voler puntare sull’integrazione del Development, della Security e delle Operations nell’un’unica funzione del DevSecOps come uno dei suoi tre trend annuali di punta.
In particolare per la difesa delle identità digitali l‘azienda annuncia un cambiamento culturale che richiede il coinvolgimento della funzione security sin dalle prime fasi dei processi DevOps e quindi l’approccio del DevSecOps diventa parte del manuale della cyber-difesa: per tutte le sue applicazioni e tutti i suoi servizi viene garantita l’adozione di funzionalità base di autenticazione e autorizzazione, e con l’evolversi dei micro servizi e degli SDK specializzati viene resa più semplice l’incorporazione di funzionalità di sicurezza dalle prime fasi del ciclo di vita delle applicazioni. Senza trascurare le necessarie caratteristiche di qualità della user experience.
Approfondimenti
Nel 2017 gli eventi di maggiore risalto sono stati la DevSecOps RSA Conference 2017 svoltasi a San Francisco e che certamente sarà rinnovata nel 2018, e la DevSecCon che nella prossima edizione si terrà a Londra nel 2017 e a Singapore nel 2018.
A disposizione di chi volesse ulteriormente approfondire si consiglia il sito dei fondatori del movimento DevSecOps, seguire l’apposito hashtag su Twitter, oppure dare una lettura al whitepaper del SANS Institute A DevSecOps Playbook. Il DevSecOps Dojo è un’altra risorsa sul Web per gli aggiornamenti su ciò che sta accadendo in questo ambito, inclusi articoli e notizie tematizzate per i diversi settori del mercato.