La supply chain del software è sempre più vulnerabile

Un nuovo report di Red Hat ha analizzato le problematiche relative alla gestione e alla sicurezza dei flussi di lavoro containerizzati nel cloud.

Avatar di Dario Orlandi

a cura di Dario Orlandi

Il nuovo rapporto The State of Kubernetes Security for 2023 di Red Hat analizza i rischi specifici per la sicurezza che le organizzazioni devono affrontare nel loro percorso di transizione digitale, inclusi quelli relativi alla catena di fornitura del software, e fornisce indicazioni su come mitigarli per proteggere le applicazioni e gli ambienti IT.

Kubernetes è diventata una tecnologia fondamentale per la trasformazione digitale e ha visto un'adozione sempre maggiore negli ultimi anni. Tuttavia, le preoccupazioni sulla sicurezza dei carichi di lavoro containerizzati sono ancora presenti nonostante la sua utilizzo in produzione.

Il rapporto si basa su un sondaggio condotto su 600 professionisti DevOps, ingegneri e professionisti della sicurezza, evidenziando le sfide di sicurezza più comuni e il loro impatto sul business. Il rapporto fornisce inoltre best practice e indicazioni per ridurre i rischi per la sicurezza per i team di sviluppatori e di security.

Preoccupazioni per la sicurezza

Il sondaggio ha rivelato che la sicurezza rimane una delle maggiori preoccupazioni per l'adozione dei container, con il 38% degli intervistati che ha dichiarato che la security non ha ancora acquisito la priorità corretta o che gli investimenti per la sicurezza sono inadeguati, in aumento del 7% rispetto all'anno scorso.

Le soluzioni cloud-native richiedono soluzioni di sicurezza cloud-native, che spesso possono includere un approccio DevSecOps. Il 67% degli intervistati ha dichiarato di aver dovuto ritardare o rallentare l'implementazione delle applicazioni a causa di problemi di sicurezza.

L'indagine ha indicato che l'adozione di una tecnologia cloud-native dovrebbe includere la valutazione e l'implementazione di strumenti di sicurezza che forniscano feedback e guardrail nella pipeline delle applicazioni CI/CD e in quella dell'infrastruttura.

L'investimento in strumenti cloud-native che incorporino nativamente la security è uno dei modi migliori per superare il divario tra investimenti e adozione.

L'indagine ha rivelato che il 21% degli intervistati ha dichiarato che un incidente di security ha portato al licenziamento dei dipendenti e il 25% ha subito una sanzione. Inoltre, il 37% degli intervistati ha individuato la perdita di fatturato/clienti come conseguenza di un incidente di sicurezza legato a container e Kubernetes.

La giusta priorità alla sicurezza in una strategia cloud-native aiuta le aziende a investire nella protezione delle risorse aziendali, a soddisfare i requisiti normativi, a garantire la continuità aziendale, a mantenere la fiducia dei clienti e a ridurre i costi per rimediare ai problemi di sicurezza in un secondo momento.

La sicurezza dovrebbe essere considerata come una componente integrante nell’adozione di una tecnologia di successo, non come un ostacolo o un danno per lo sviluppo cloud-native.

La supply chain del software

Secondo un rapporto di Sonatype, negli ultimi 3 anni si è registrato un aumento medio annuo del 742% degli attacchi alle supply chain del software. Il sondaggio ha mostrato che la sicurezza della supply chain del software in Kubernetes è una preoccupazione crescente per i responsabili IT.

Le tre principali preoccupazioni sono componenti applicativi vulnerabili (32%), controlli di accesso insufficienti (30%) e mancanza di una distinta base del software (SBOM) o di una provenienza (29%).

Più della metà degli intervistati ha riscontrato praticamente tutti i problemi identificati nella domanda, con componenti applicativi vulnerabili e debolezza della pipeline di integrazione continua/consegna continua (CI/CD) come i primi due problemi più citati.

La buona notizia è che molte organizzazioni stanno facendo passi avanti verso una migliore protezione delle loro catene di fornitura del software. Un approccio DevSecOps completo rappresenta una delle strategie più efficaci per proteggere la supply chain del software.

Quasi la metà degli intervistati ha un'iniziativa DevSecOps in fase avanzata e un altro 39% comprende il valore di DevSecOps e si trova nella fase iniziale di adozione.

Concentrandosi sulla sicurezza dei componenti e delle dipendenze del software fin dalle prime fasi del ciclo di vita dello sviluppo e utilizzando le pratiche DevSecOps per automatizzare l'integrazione della sicurezza in ogni fase, le organizzazioni sono in grado di passare da processi manuali incoerenti a operazioni coerenti, ripetibili e automatizzate.