La nozione “shift left” per DevOps e processi CI/CD più sicuri è ormai compresa ma, come sottolinea CyberArk, metterla in pratica può essere difficile.
È fondamentale che i team di sicurezza prendano l’iniziativa per integrarla nei processi DevOps prima che si radichino pratiche non adeguate. Invece di vedere la sicurezza come il “dipartimento di prevenzione della release”, gli sviluppatori dovrebbero avere la consuetudine di introdurre la sicurezza nella fase di pianificazione, mantenendola strettamente integrata nel processo CI/CD dall’inizio alla fine.
CyberArk propone quattro raccomandazioni pratiche per rendere questo approccio collaborativo una realtà.
I team di sicurezza devono essere aggiornati sugli strumenti e le tecniche DevOps per comunicare in modo credibile il rischio e le best practice alle loro controparti di sviluppo. Inoltre, utilizzando metodi agili e DevOps all’interno delle loro pratiche di sicurezza, come l’automazione delle attività di protezione e la fornitura di funzionalità di security con piccoli incrementi sempre più frequenti, possono acquisire una comprensione più profonda di DevOps.
Fiducia e pipeline DevOps
Occorre implementare una soluzione di proprietà del team di sicurezza che fornisca capacità critiche, come la gestione dei secret, in modalità “machine-consumable” che possano essere integrati nei processi automatizzati, come la “security policy as code”. Questo rende più facile per gli sviluppatori ottenere l’accesso di cui hanno bisogno per fare il loro lavoro, facendo al contempo la cosa “giusta” dal punto di vista della sicurezza.
I team dovrebbero considerare insieme il modo migliore per implementare le risorse di sicurezza in modelli e strutture organizzative nuove o esistenti, ad esempio stabilendo centri di eccellenza, community leader e campioni di sicurezza e inserendo i membri del team di sicurezza all’interno dei team di sviluppo. In quest’ottica, i risultati del sondaggio Enabling Cloud-Native DevSecOps 2021 di Gartner hanno mostrato come la creazione di un centro di eccellenza (COE) per il cloud sia considerata come la singola misura più efficace per migliorare la sicurezza, indicata come prima scelta dal 31% degli intervistati.[1]
Sicurezza e formazione
Occorre offrire formazione agli sviluppatori su specifiche tattiche di attacco, mostrando come i moduli di codice potrebbero esporre i secret e fornendo esempi sotto forma di user story; e condurre il team attraverso un esercizio di penetration testing o ingaggiare un Red Team, per dimostrare come un attaccante potrebbe compromettere una pipeline CI/CD.
In questo modo, con gli strumenti e la strategia giusti in atto, i team di sicurezza potranno collaborare in modo più efficace con gli sviluppatori per stabilire ambienti di sviluppo più agili, sicuri e produttivi a valle della software supply chain.
[1] Gartner, “Survey Analysis; Enabling Cloud-Native DevSecOps,” 13 settembre, 2021. Dionisio Zumerle