Come mettere in sicurezza i processi DevOps?

DevOps. Il nome dice già tutto, attacca Nicola Attico, Solutions Consultant Manager di  ServiceNow Italy.. Unendo Development e Operations i metodi DevOps promettono velocità e agilità e un tempo minore per il go-to-market di nuove iniziative e prodotti software.

Ma la sicurezza, che nel termine “DevOps” non compare? Il DevOps è associato all’agilità, mentre la sicurezza deve fare in modo che un nuovo software sia completamente protetto contro le minacce conosciute e le possibili vulnerabilità. Ma, e qui sta ilproblema evidenziato dal manager, non sempre agilità e sicurezza vanno d’accordo.

Forse è per questo che il team di security è stato lasciato al di fuori della definizione originale del DevOps, ma è un errore. Se il DevOps e la security operano come due gruppi completamente separati sono chiaramente in conflitto. Più veloci devono essere i processi DevOps, più la sicurezza del software sarà a rischio e, al contrario, maggiore sarà la sicurezza, più i processi saranno meno agili.

Per fortuna c’è una soluzione, evidenzia Attico. Portando la sicurezza all’interno dello sviluppo DevOps si raggiungono infatti entrambi gli obiettivi: i processi DevOps garantiscono la velocità e l’agilità necessarie mentre la sicurezza si occupa della protezione continua dalle minacce e dalle vulnerabilità.

Integrare la security nei DevOps

Integrare la sicurezza nel DevOps è una sfida. La security è complessa, molte vulnerabilità e minacce vengono scoperte ogni giorno ed è difficile rimanere agili in un simile contesto. Nonostante ciò, i benefici sono maggiori della sfida e vale la pena pensare seriamente a come la sicurezza può essere integrata con successo nel DevOps.

Prima di tutto, integrare la security con l’approccio DevOps significa trasformare processi e pregiudizi radicati. Per esempio, al posto di avere un controllo di sicurezza come ultimo step del processo, questo deve essere eseguito con continuità a partire dal primo giorno in cui si inizia a progettare il software. Si tratta di una sfida difficile, perché richiede l’automazione di attività fondamentali di security.

In secondo luogo, aggiunge Attico, mentre si porta la sicurezza all’interno dei processi DevOps è importante automatizzare le attività più comuni per evitare rallentamenti.

Per esempio la scansione dei server, per verificare il rispetto degli standard, può essere automatizzata. Un altro esempio è l’automazione dei test di penetration in modo che i codici non sicuri vengano identificati prontamente.

Oltre a questo, i team di security devono cambiare il modo in cui lavorano. Invece di proporsi come un dipartimento separato devono fare più squadra con gli altri team.

Nessuno è ancora sicuro di come denominare questa nuova combinazione di DevOps e Security, ma a prescindere dal nome è l’ora di integrare la sicurezza nel DevOps e permettere alle aziende di combinare importanti caratteristiche come la velocità e l’agilità del DevOps con le garanzie e la protezione della Security.