Tutto su Digital Workplace e Smart Working - Il blog di Present

DevSecOps: i vantaggi di integrare la sicurezza fin dall'inizio del processo di sviluppo

Scritto da Present | 27 settembre 2022

Collegare insieme sviluppo, sicurezza e operation IT con DevSecOps è oggi un traguardo importante per garantire efficienza e velocità nella realizzazione dei progetti software, doti indispensabili per il time-to-market, per soddisfare i clienti e rendere l’azienda più competitiva sul mercato. Con DevSecops i team IT possono avvantaggiarsi di una toolchain integrata che riduce le pratiche manuali, foriere di omissioni ed errori, automatizzando tutti i processi di produzione software fino al delivery finale. Un modo per ottenere più rapidamente software di qualità a supporto dei processi di business o dei servizi ai clienti e aiutare l’evoluzione del lavoro IT, metterlo al passo delle attuali esigenze aziendali.

La velocità e qualità dello sviluppo sono i motivi per cui le pratiche DevOps/DevSecOps entrano oggi in gioco a supporto dei progetti di modernizzazione applicativa d’impresa. L’aggiornamento del software legacy non è d’alcuna utilità se non accompagnato da un profondo cambiamento culturale e metodologico dell’IT in grado di garantire l’evoluzione e l’allineamento dei servizi con le esigenze d’impresa. Allineamento che oltre ad evitare l’obsolescenza funzionale deve poter garantire scalabilità e deploy efficiente su piattaforme e servizi in cloud che cambieranno nel corso del ciclo di vita dell’applicazione.


Il valore di DevSecOps per la velocità del delivery e la sicurezza delle applicazioni

L’inserimento della security nel processo DevOps (con DevSecOps) migliora la produttività dei programmatori e la capacità di scrivere codice sicuro by design e reagire prontamente alla scoperta di bug e minacce cyber. Le review immediate del codice con tool SAST (static application security testing) integrati nella toolchain DevSecOps evitano che le vulnerabilità presenti nei programmi siano portate avanti nelle fasi di produzione, accrescendo gli oneri per la loro successiva rimozione. L’immediata scoperta offre ai programmatori il feedback di cui hanno bisogno per imparare a scrivere il codice secondo le best practice, renderlo meno attaccabile sul fronte della sicurezza. L’integrazione dei processi di sviluppo e deploy consente altresì di reagire prontamente, e con tutte le armi a disposizione, alle segnalazioni di problemi da parte degli utenti così come agli allarmi lanciati periodicamente dagli osservatori internazionali sulla cybersecurity. La scoperta di una falla software o un allarme causato dalla circolazione dell’ennesima minaccia cyber ottengono con DevSecOps le risposte più rapide, sia sul lato operativo dove, per esempio, può essere messo un filtro per bloccare le query a rischio, sia della programmazione avviando le modifiche opportune (es. la sostituzione delle librerie più vulnerabili) in un nuovo ciclo di test e rilascio.


I vantaggi del metodo per migliorare la qualità del lavoro in team

Con DevSecOps i team di sviluppo, di sicurezza e delle operation cessano di avere obiettivi diversi o astrusamente tecnici - quali la scrittura di codice, l’esecuzione dei test di vulnerabilità o la riduzione dei tempi di risposta online - e cooperano più attivamente nel soddisfare gli obiettivi aziendali e degli utilizzatori del software. Attraverso l’automazione e l’integrazione della toolchain, DevSecOps rimuove molti dei tradizionali ostacoli organizzativi nella presa in carico dei job di lavoro tra team diversi, riducendo gli errori umani e la documentazione cartacea, spesso difficile da interpretare tra persone IT che hanno differenti competenze e usano un linguaggio tecnico diverso. Oltre a fornire l’ossatura per industrializzazione della software factory, DevSecOps aiuta le persone a concentrarsi su ciò che ha peso nella creazione di valore lasciando all’automazione i compiti meno grati e ripetitivi. Il superamento della dimensione artigianale del lavoro IT si accompagna con un cambiamento culturale dei team nel segno della condivisione delle competenze, aspetto oggi molto importante nell’ambito della security.


DevSecOps a supporto dei nuovi progetti con metodologia agile

Con la prospettiva di riuscire a industrializzare tutti processi della software factory fino al deploy (includendo la sicurezza), DevSecOps rappresenta un obiettivo per molte realtà d’impresa che si sono avviate sulla strada del DevOps, per esempio, cominciando dalle strategie base di Continuous Integration & Continuous Delivery (CI/CD) per l’automazione dello sviluppo. Aspetto rilevante per le realtà dinamiche, DevSecOps costituisce un ideale supporto all’introduzione della metodologia agile nella gestione dei progetti aziendali. Poter disporre di una catena di montaggio veloce per creare il software, testarlo e metterlo in produzione consente di sviluppare nuovi servizi in modo agile e iterativo, a partire da richieste degli utenti e feedback d’uso, incorporando le nuove funzionalità nei rilasci senza soluzione di continuità per tutta la vita utile dell’applicazione. Una modalità efficace per affrontare progetti digitali in mercato sempre più dinamico che cambia in modo imprevedibile.