Sicurezza anticipata: la sicurezza è una componente di tutte le fasi dello sviluppo del
![](https://www.wisdomtree.eu/-/media/eu-media-files/blog/refresh-images/technology/general-and-multi-thematic/wisdomtree_website_image_shift-left_1151x564px_mar21.jpg?h=564&iar=0&w=1151&sc_lang=it-ch&hash=E0C802D4010622A417C89D812E80E74B)
Lo sviluppo e la gestione del software sono più agili e veloci che mai. La sicurezza non può essere garantita a posteriori, ma deve essere affidata anticipatamente agli sviluppatori, tenendo conto fin dall’inizio delle considerazioni sulla sicurezza in un modello DevSecOps.
Fattori trainanti
Spesso i tempi di commercializzazione hanno la priorità sulla sicurezza: gli sviluppatori si valutano in base alla velocità con cui possono creare codice, anziché sulla sicurezza di quest’ultimo, e i leader aziendali in base alla rapidità con cui riescono a immettere sul mercato nuovi prodotti e servizi. In mancanza di tempo per rimediare alle vulnerabilità del codice, si provvede alla sicurezza come se si trattasse di un extra, dopo aver completato lo sviluppo dell’applicazione: un approccio rischioso. Di conseguenza, il 42% delle aziende che hanno subito un attacco esterno attribuisce l’incidente a una falla di sicurezza del software e il 35% lo attribuisce a un’applicazione web difettosa.1 Nell’ambiente dinamico attuale delle micro-release e degli aggiornamenti quotidiani o settimanali del software, gli sviluppatori devono mantenere una mentalità orientata alla sicurezza e affidarsi ai controlli lungo tutta la durata del processo di codifica per non farsi sorprendere da eventuali problemi in materia di sicurezza. Ciò nonostante, la migrazione verso un paradigma di sicurezza affidato agli sviluppatori si è rivelata lenta: secondo Google, solo il 20% delle aziende è considerato “all’avanguardia” per quanto riguarda il DevOps.2 La “sicurezza anticipata” evidenzia l'esigenza per i team addetti alla sicurezza di collaborare con gli sviluppatori fin dall’inizio del ciclo di programmazione al fine di integrare la sicurezza delle informazioni e la relativa automazione. Idealmente, gli sviluppatori hanno il compito di provvedere durante la creazione di un prodotto o un servizio alla sua sicurezza, con strumenti che non rendono solo il codice più sicuro, ma codificano anche l’intento.
Impatto - Prima si gioca d’anticipo, più la sicurezza viene integrata profondamente nel processo di sviluppo delle applicazioni. Per conseguire questo obiettivo, i professionisti della sicurezza devono perfezionare le loro competenze in materia di programmazione e gli sviluppatori devono essere in grado di creare codice senza perdere di vista la sicurezza.
Soluzioni - Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST), Interactive Application Security Testing (IAST), Software Composition Analysis (SCA), ciclo di sviluppo sicuro, formazione in materia di sicurezza per sviluppatori, sicurezza dei container.
Prospettive:
- La prospettiva dell'anti-hacker - “La rapidità degli sviluppatori è un modo per misurare la velocità degli affari. Gli sviluppatori aggiungono continuamente funzionalità alle applicazioni e, se le aziende vogliono restare competitive, la sicurezza al giorno d’oggi deve muoversi alla velocità degli affari.” - Stephen Garcia, vicepresidente dell’area Cybersecurity, FanDuel
- La prospettiva di un hacker secondo Team8 - “La sicurezza anticipata crea vari problemi per un hacker. Man mano che il software diventa più solido, si riduce la possibilità che siano presenti vulnerabilità informatiche. Tuttavia, anche hacker sofisticati possono giocare d’anticipo inserendo codici “maligni” o backdoor, nelle prime fasi del ciclo di sviluppo prima o dopo che il codice sorgente sia stato compilato: ne è un esempio l’attacco al sistema di programmazione di Solar Winds. Invece di aspettare o scovare una vulnerabilità, gli hacker hanno modificato il sistema proprio come farebbe un programmatore e hanno creato loro stessi una vulnerabilità.”
Nel nostro prossimo articolo ci occuperemo della sicurezza intelligente.
Blog correlati
+ Un’introduzione alla sicurezza informatica, il megatrend del decennio in corso
+ La sicurezza degli oggetti: una gestione adeguata del boom di dispositivi connessi
+ Un mondo senza confini: le reti sono sempre meno legate ai luoghi fisici
1 https://www.forrester.com/report/The+State+Of+Application+Security+2020/-/E-RES159057
2 https://services.google.com/fh/files/misc/state-of-devops-2019.pdf