Come mettere in sicurezza i processi DevOps?

Le applicazioni e i sistemi a supporto del business crescono ormai in maniera esponenziale e il time to market è un fattore sempre più critico. La velocità penalizza però la security che rimane un elemento essenziale al giorno d’oggi. ServiceNow spiega come integrare la security nei processi DevOps.

A cura di Nicola Attico, Solutions Consultant Manager ServiceNow Italy

DevOps. Il nome dice già tutto. Development + Operations. Unendo questi due elementi, i metodi DevOps promettono velocità e agilità e un tempo minore per il go-to-market di nuove iniziative e prodotti software.

E…la sicurezza? Nel termine “DevOps” non compare. Il DevOps è associato all’agilità, mentre la sicurezza deve fare in modo che un nuovo software sia completamente protetto contro le minacce conosciute e le possibili vulnerabilità. Ma non sempre agilità e sicurezza vanno d’accordo.

Forse è per questo che il team di security è stato lasciato al di fuori della definizione originale del DevOps, ma è un errore. Se il DevOps e la security operano come due gruppi completamente separati sono chiaramente in conflitto. Più veloce devono essere i processi DevOps, più la sicurezza del software sarà a rischio e, al contrario, maggiore sarà la sicurezza, più i processi saranno meno agili.

Per fortuna c’è una soluzione. Portando la sicurezza all’interno dello sviluppo DevOps si raggiungono infatti entrambi gli obiettivi: i processi DevOps garantiscono la velocità e l’agilità necessarie mentre la sicurezza si occupa della protezione continua dalle minacce e dalle vulnerabilità.

Come integrare la security nei processi DevOps

Certo, integrare la sicurezza nel DevOps è una sfida. La security è complessa, molte vulnerabilità e minacce vengono scoperte ogni giorno ed è difficile rimanere agili in un simile contesto. Nonostante ciò, i benefici sono maggiori della sfida e vale la pena pensare seriamente a come la sicurezza può essere integrata con successo nel DevOps.

Prima di tutto, integrare la security con l’approccio DevOps significa trasformare processi e pregiudizi radicati. Per esempio, al posto di avere un controllo di sicurezza come ultimo step del processo, questo deve essere eseguito con continuità a partire dal primo giorno in cui si inizia a progettare il software. Si tratta di una sfida difficile, perché richiede l’automazione di attività fondamentali di security.

In secondo luogo, mentre si porta la sicurezza all’interno dei processi DevOps è importante automatizzare le attività più comuni per evitare rallentamenti. Per esempio la scansione dei server, per verificare il rispetto degli standard, può essere automatizzata. Un altro esempio è l’automazione dei test di penetration in modo che i codici non sicuri vengano identificati prontamente.

Oltre a questo, i team di security devono cambiare il modo in cui lavorano. Invece di proporsi come un dipartimento separato devono fare più squadra con gli altri team.

È l’ora dei DevSecOps?

Nessuno è ancora sicuro di come denominare questa nuova combinazione di DevOps e Security, ma a prescindere dal nome è l’ora di integrare la sicurezza nel DevOps e permettere alle aziende di combinare importanti caratteristiche come la velocità e l’agilità del DevOps con le garanzie e la protezione della Security.