Funzioni di sicurezza delle applicazioni e DevSecOps

  • Articolo

L'obiettivo della sicurezza delle applicazioni e DevSecOps è integrare le garanzie di sicurezza nei processi di sviluppo e nelle applicazioni line-of-business personalizzate.

Modernizzazione

Lo sviluppo di applicazioni viene rapidamente rimodellato in più aspetti in modo simultaneo, tra cui il modello di team DevOps, la cadenza rapida delle versioni DevOps e la composizione tecnica delle applicazioni tramite i servizi cloud e le API. Vedere come il cloud sta cambiando le responsabilità e le relazioni di sicurezza per informazioni su queste modifiche.

Questa modernizzazione dei modelli di sviluppo antiquati presenta sia un'opportunità che un requisito per modernizzare la sicurezza delle applicazioni e dei processi di sviluppo. La fusione della sicurezza nei processi DevOps viene spesso definita DevSecOps e determina le modifiche, tra cui:

  • La sicurezza è integrata, non approvazione esterna: il rapido ritmo del cambiamento nello sviluppo di applicazioni rende obsoleti gli approcci classici alla "scansione e al report" nelle condizioni normali di mercato. Questi approcci legacy non riescono a rimanere al passo con le versioni senza arrestare lo sviluppo e creare ritardi time-to-market, un sottoutilizzo degli sviluppatori e una crescita del backlog dei problemi.
    • Spostarsi a sinistra per attivare la sicurezza da subito nei processi di sviluppo di applicazioni, in quanto correggere i problemi da subito è più economico, veloce ed efficace. È meglio prevenire che curare.
    • Integrazione nativa: le procedure di sicurezza devono essere integrate senza problemi per evitare conflitti di integrità nei flussi di lavoro di sviluppo e nei processi di integrazione continua/distribuzione continua (CI/CD). Per altre informazioni sull'approccio di GitHub, vedere Securing software, together.
    • Sicurezza di alta qualità: la sicurezza deve offrire materiale sussidiario e risultati di alta qualità che consentono agli sviluppatori di risolvere rapidamente i problemi e di non sprecare tempo con falsi positivi.
    • Cultura convergente: i ruoli di sicurezza, sviluppo e operazioni devono contribuire a elementi chiave in una cultura condivisa, valori condivisi, responsabilità e obiettivi condivisi.
  • Sicurezza agile: modificare l'approccio alla sicurezza da "deve essere perfetto per la spedizione" a un approccio agile che inizia con la sicurezza minima funzionante per le applicazioni (e per i processi per svilupparle) che viene costantemente migliorata in modo incrementale.
  • Adottare l'infrastruttura nativa del cloud e le funzionalità di sicurezza per semplificare i processi di sviluppo integrando al tempo stesso la sicurezza.
  • Gestione dei rischi della supply chain: adottare un approccio Zero Trust al software open source e ai componenti di terze parti che convalidano l'integrità e garantiscono che le correzioni di bug e gli aggiornamenti siano applicati a questi componenti.
  • Apprendimento continuo: il ritmo di rilascio rapido dei servizi per sviluppatori, talvolta denominati servizi PaaS, e la modifica della composizione delle applicazioni significa che i membri del team di sviluppo, di operazioni e di sicurezza apprendono costantemente nuove tecnologie.
  • Approccio a livello di codice alla sicurezza delle applicazioni per garantire un miglioramento continuo dell'approccio Agile.

Per un contesto aggiuntivo, vedere Ciclo di vita di sviluppo sicuro di Microsoft.

Composizione del team e relazioni chiave

Le funzioni di sicurezza delle applicazioni e DevSecOps vengono eseguite idealmente da sviluppatori e team di operazioni in grado di riconoscere la sicurezza (con il supporto di esperti in materia di sicurezza).

Questa funzione interagisce in genere con altre funzioni ed esperti, tra cui:

  • Architettura e attività operative per la sicurezza
  • Sicurezza dell'infrastruttura
  • Comunicazioni (training e strumenti)
  • Sicurezza delle persone
  • Identità e chiavi
  • Team di gestione della conformità e dei rischi
  • Principali responsabili aziendali o i loro rappresentanti

Passaggi successivi

Esaminare la funzione di sicurezza dei dati.