Come “spostarsi a sinistra” e sostenere la collaborazione tra sicurezza e sviluppatori
-
- Tweet
- Pin It
- Condividi per email
-
di Ashley Ward, Technical Director, Office of the CTO, Palo Alto Networks
Si parla spesso di tensione tra sviluppatori e responsabili della sicurezza e la collaborazione tra i due team potrebbe sembrare strana. In realtà, spostare la sicurezza dalla fine del ciclo di vita dello sviluppo software a un punto precedente del processo può davvero fare la differenza. Integrare strumenti di protezione nella pipeline di sviluppo può mettere fine all’incubo di tentare di risolvere falle di sicurezza una volta terminato il processo.
Il potenziale per migliorare la consapevolezza e le attività di sicurezza in ambito DevOps è evidente quando si considera come semplici, ma gravi falle nella sicurezza cloud continuano a essere un problema. Ad esempio, il recente Cloud Threat Report del team di threat intelligence Unit 42, ha rivelato scarsa sicurezza nel software e nelle infrastrutture basate su cloud: il 74% delle installazioni cloud esaminate stavano eseguendo workload in Google Cloud con privilegi di amministrazione non sufficientemente sicuri.
“DevSecOps” è il termine che riassume il cambiamento culturale che deve avvenire per porre fine a queste e altre mancanze. Con questo approccio, i team che creano applicazioni non dovrebbero solo essere consapevoli di come il codice venga sviluppato e distribuito nel cloud e altrove, ma anche di come viene protetto. DevSecOps significa integrare la sicurezza ovunque, in modo che tutti i punti di contatto nel ciclo di vita dello sviluppo del software ne contengano un elemento.
L’obiettivo di DevSecOps è di rendere DevOps e i processi di sicurezza molto più efficienti e consentire di individuare eventuali problemi in anticipo.
Aprire le linee di comunicazione
Quindi, quali sono gli elementi fondamentali per il successo? Uno ovvio è abbattere le barriere che esistono tra i team di sviluppo e di sicurezza. Gli approcci sono diversi, si potrebbe inserire una persona di sicurezza in un team di sviluppo o formare gli sviluppatori sulle best practice di protezione. Qualunque sia il prescelto, un passo fondamentale è il superamento delle barriere di comunicazione. Un malinteso comune è che security significhi solo dire no a qualsiasi richiesta, in nome della riduzione del rischio. Dal punto di vista della sicurezza, invece, si pensa che gli sviluppatori si preoccupino solo di consegnare il codice, senza prendere in considerazioni eventuali rischi. Nessuno dei due punti di vista è fondamentalmente vero.
Linee di comunicazione aperte e comprensione reciproca sono fondamentali, ma è altrettanto importante che i team DevSecOps abbiano un set di strumenti integrato e capace di tracciare e affrontare le modifiche che potrebbero avvenire in azienda. Che si tratti di cambiamenti nei fornitori di cloud, nello stack di distribuzione o altro, c’è una chiara necessità di disporre di una piattaforma che funzioni ovunque ci si trovi – nel cloud o on-premise.
Approcci di sviluppo nativi del cloud scatenano nuovi modi di fornire sicurezza. La tecnologia oggi consente di ricercarne i problemi dalla schermata del codice dello sviluppatore, fino alla scansione automatica e la protezione degli ambienti di produzione. Inoltre, fondamento di una buona consapevolezza e visibilità della sicurezza è l’entità dell’utente e l’analisi comportamentale che può ridurre il rischio ulteriormente.
Gli strumenti sono un elemento essenziale per abilitare DevSecOps, ma rimangono altre sfide da risolvere che includono le “incognite sconosciute” affrontate dalle organizzazioni quando accelerano la loro trasformazione digitale.
Forse la più grande difficoltà che le aziende devono affrontare quando cercano di integrare la sicurezza nello sviluppo è spesso il desiderare una soluzione facile. In altre parole, “abbastanza sicurezza”, ma non è mai una grande idea.
Spostarsi a sinistra e coltivare un approccio DevSecOps richiederà tempo e sarà necessario investire in strumenti che permettano a sviluppatori e team di sicurezza di lavorare insieme e impegnarsi realmente per eliminare le barriere di comunicazione, sviluppare la giusta cultura e stabilire processi che consentano loro di collaborare per uno scopo comune.
Contenuti correlati
-
Presentata a SPS Italia 2026 la nuova piattaforma Ewon Edge & Cloud di HMS NetworksIn occasione di SPS Italia 2026, la fiera di riferimento per l’automazione e il digitale per l’industria, EFA Automazione e Relatech, presentano al mercato italiano la nuova piattaforma Ewon Edge & Cloud di HMS Networks, una soluzione...
-
Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescitaRockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of Smart Manufacturing Report. La ricerca evidenzia un cambiamento nell’approccio dei produttori italiani alla trasformazione digitale: oggi, infatti, crescita ed espansione della capacità produttiva...
-
The smarter E Europe: networking sicuro per infrastrutture energetiche critiche con MoxaMoxa Europe GmbH, azienda punto di riferimento nelle soluzioni di comunicazione e networking industriale, presenterà a EM-Power Europe, nell’ambito di The smarter E Europe (Messe München dal 23 al 25 giugno 2026), presso il Padiglione B.5, Stand...
-
Si delinea il programma di secsolutionforum 2026Secsolutionforum 2026 torna in presenza il 7 e 8 ottobre 2026 a BolognaFiere, all’interno di Urban Tech 2026 – The Urban Technology Show, l’ecosistema dedicato a e-mobility, traffic, commuting, tlc & data ed environment. Dopo sei edizioni...
-
Lo standard IEC62443Vediamo qui la norma IEC62443, che stabilisce linee guida e regole da seguire per la sicurezza delle reti industriali OT Leggi l’articolo
-
Manifatturiero italiano sotto attacco: ecco il paradosso che i dati non raccontano
“Never touch a running system”: è il principio non scritto che governa la gestione dei macchinari in molti stabilimenti italiani. Non per resistenza al cambiamento, ma perché ogni intervento può avere un costo operativo immediato e, a volte,...
-
Moxa ottiene la prima certificazione IEC 62443-4-2Moxa annuncia che la sua serie NPort 6000-G2 è diventata il primo server di dispositivi seriali al mondo a ottenere la certificazione IEC 62443-4-2 Livello di Sicurezza 2 nell’ambito dello schema di certificazione IECEE. Questo traguardo riflette l’impegno...
-
Nozomi Networks Labs: attacchi ransomware minacciano il 30% del PIL mondiale, manifatturiero italiano nel mirinoIl 70% dell’attività ransomware globale è diretta verso i principali paesi anglofoni, secondo il più recente rapporto OT & IoT Security di Nozomi Networks Labs. Nella seconda metà dello scorso anno, il 40% di tutti gli attacchi...
-
Tra crescente consapevolezza e incompleta maturitàLe aziende italiane aumentano l’attenzione alla cybersecurity, ma restano divari operativi, soprattutto nelle PMI. Tra minacce sempre più evolute e nuove tecnologie, emerge la necessità di un approccio strutturato, resiliente e orientato al modello Zero Trust Leggi...
-
Il trasporto pubblico è un’infrastruttura critica. Ed è ora di proteggerlo in modo adeguatoLa sicurezza nel trasporto pubblico locale sta cambiando funzione. Non è più soltanto uno strumento per documentare gli eventi: sta diventando una componente della gestione operativa, capace da un lato di tutelare in tempo reale il personale...
Scopri le novità scelte per te
-
Presentata a SPS Italia 2026 la nuova piattaforma Ewon Edge & Cloud di HMS Networks
In occasione di SPS Italia 2026, la fiera di riferimento per l’automazione e il digitale per l’industria,...
-
Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescita
Rockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of Smart Manufacturing Report....
Notizie Tutti ▶
-
TXT e-tech guida il progetto DART per l’innovazione del settore difesa nell’Unione EuropeaIl Gruppo TXT annuncia di aver ottenuto la guida del progetto DART – Digital Architecture...
-
InnoDays 2026 riunisce a Karlsruhe i protagonisti europei della cybersicurezza industrialeWibu-Systems ha annunciato l’agenda di InnoDays 2026, il suo evento annuale di riferimento, che...
-
Avvicendamento al CINI Cybersecurity National LabLa Direzione del CINI Cybersecurity National Lab rivolge i migliori auguri di buon lavoro...
Prodotti Tutti ▶
-
Presentata a SPS Italia 2026 la nuova piattaforma Ewon Edge & Cloud di HMS NetworksIn occasione di SPS Italia 2026, la fiera di riferimento per l’automazione e il...
-
XIA, il copilota di TEX per la programmazione di PLC e CNCXIA è l’avanguardia tecnologica nata dalla visione di TEX. Non è un semplice assistente virtuale,...
-
HP celebra dieci anni di innovazione nell’additive manufacturing e presenta la stampante 3D HP MJF 1200In occasione di RAPID + TCT 2026, HP ha presentato diverse novità nel proprio...
