In occasione del webinar organizzato con ImpresaCity e One Identity, il TechAdvisor Michelangelo Uberti ha fornito una panoramica del DevSecOps, una evoluzione della metodologia DevOps in cui i controlli di sicurezza e di quality assurance vengono integrati sin dalle prime fasi dello sviluppo.
I punti trattati in questa presentazione sono:
- Dal Waterfall al DevOps: lo sviluppo Agile
- Dal Waterfall al DevOps: il paradigma DevOps
- DevSecOps: non una semplice buzzword
- Le sfide della Continuous Security
- Chi affronterà queste sfide?
- Il DevSecOps Maturity Model
- I controlli di sicurezza
Per saperne di più guardate la registrazione del webinar su https://www.par-tec.it/devsecops-la-cybersecurity-sposa-lo-sviluppo-moderno
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
1. Partita IVA e Codice Fiscale: 12938200156
C.C.I.A.A. Milano n.1599095
Registro Imprese 12938200156
Capitale Sociale € 2.418.433,00 i.v.
Sede Legale e Unità Operativa
Via Panfilo Castaldi, 11
20124 Milano
Tel: +39 02.66.732.1 – Fax: +39 02.66.732.300
Unità Operativa
Via Cristoforo Colombo, 163
00147 Roma
Tel: +39 06.9826.9600 – Fax: +39 06.9826.9680
Michelangelo Uberti – Marketing Manager
DevSecOps: la cybersecurity sposa lo sviluppo moderno
Focus su Continuous Security e Secrets Management
2. 2
Chi è Par-Tec
Considerati uno dei system integrator più attivi della scena open source italiana, realizziamo soluzioni innovative
e personalizzate ed offriamo servizi professionali di alto profilo rivolti a Large Enterprise, PMI e alla PA.
Technology Solutions
Stackable
Financial Services Solutions
Security
TS
ST
FS
SE
Business Solutions
Educational
BS
E
Le nostre competenze in ambito Security
Consulenza
normativa
Formazione
specialistica
Tecnologie per la
privacy compliance
Progettazione di
soluzioni custom
4. 4
Dal Waterfall al DevOps: lo sviluppo Agile
Il termine Agile identifica un insieme di metodologie di sviluppo del software basate su
cicli di sviluppo brevi finalizzati al miglioramento continuo di un prodotto o servizio
Waterfall
Agile
Iterazione o Sprint
Design Coding Testing Deploy
Se qualcosa va storto si procede a suon
di patch (o si accetta il rischio)
A cosa è servito essere "agili"?
5. 5
Dal Waterfall al DevOps: il paradigma DevOps
Waterfall
Agile
DevOps
Design Coding Testing Deploy
Dev(elopment)Op(eration)s è una pratica con cui i team di Sviluppo e di Esercizio
partecipano attivamente durante l’intero ciclo di vita di un servizio
Anche nel DevOps, i test di sicurezza
vengono lasciati alla fine…
6. 6
DevSecOps: non una semplice buzzword
Fonte definizione: Gartner https://www.gartner.com/en/information-technology/glossary/devsecops
DevSecOps
“
”
DevSecOps is the integration of security into
emerging agile IT and DevOps development as
seamlessly and as transparently as possible
7. 7
Le sfide della Continuous Security
Nell'adozione del DevSecOps il cambio di mentalità e la creazione di una
cultura della sicurezza vengono prima della selezione di strumenti e tecnologie
NO ai "one-time scan", SI ad un
processo di security assurance
Security testing integrato nell'IDE di
sviluppo e nelle pipeline CI/CD
Scansione e risoluzione dei
problemi automatizzati
Integrazione tramite API senza
interazioni con l'interfaccia utente
Threat-modeling applicabile a tutte
le nuove applicazioni
Tracciamento delle anomalie nei
sistemi di bug tracking
8. 8
Le sfide della Continuous Security
The DevSecOps Toolchain, Gartner ID 377293
9. 9
Chi affronterà queste sfide?
Tutte le persone coinvolte nello sviluppo devono essere
formate (e aggiornate) sul secure coding…
…ma solo uno di loro diventerà il security champion!
1. È un membro esperto del team di sviluppo
2. Ha un'attitudine per la sicurezza delle applicazioni
3. Riceverà una formazione aggiuntiva
4. Sarà il punto di contatto tra i team Dev, Ops e Sec
5. Aiuterà i dev a sviluppare codice più sicuro
IDENTIKIT
10. 10
Il DevSecOps Maturity Model
Fonte: https://owasp.org/www-project-devsecops-maturity-model/
Livelli di maturità per le pratiche DevSecOps:
• Maturity 1 → Comprensione base
• Maturity 2 → Adozione base
• Maturity 3 → Elevata adozione
• Maturity 4 → Applicazione su larga scala
Principali criteri di valutazione:
• Static depth → Copertura statica del codice
• Dynamic depth → Copertura dinamica
• Intensity → Frequenza di analisi
• Consolidation → Completezza del processo
di remediation delle anomalie
11. 11
I controlli di sicurezza
ANALISI STATICA
Secrets
Scanning
Secrets
Management
Software
Composition Analysis
Static Application
Security Testing
ANALISI DINAMICA
Dynamic Application
Security Testing
Interactive Application Security Testing
La priorità del reparto IT è impostare dei processi coerenti con il modello DSOMM e
individuare le tecnologie più adatte per il team di sviluppo e le proprie pipeline CI/CD
!
12. Sede Legale e Unità Operativa
Via Panfilo Castaldi, 11
20124 Milano
Tel: +39 02.66.732.1 – Fax: +39 02.66.732.300
Unità Operativa
Via Cristoforo Colombo, 163
00147 Roma
Tel: +39 06.9826.9600 – Fax: +39 06.9826.9680
Grazie per l'attenzione!