DevSecOps (abbreviazione di sviluppo, sicurezza e operation) è una pratica di sviluppo che integra iniziative di sicurezza in ogni fase del ciclo di vita di sviluppo del software per fornire applicazioni affidabili e sicure.

DevSecOps integra la sicurezza nella pipeline di integrazione continua e distribuzione continua (CI/CD), consentendo ai team di sviluppo di affrontare alcune delle odierne e più pressanti sfide per la sicurezza alla velocità DevOps.

Storicamente, le considerazioni e le pratiche di sicurezza sono state spesso introdotte in ritardo nel ciclo di vita dello sviluppo. Tuttavia, con attacchi alla sicurezza informatica più sofisticati e team di sviluppo che passano a iterazioni più brevi e più frequenti sulle applicazioni, DevSecOps sta diventando una pratica di riferimento per la sicurezza delle applicazioni in questo moderno ecosistema di sviluppo.

Oggi la sicurezza è una priorità per ogni organizzazione. Fortunatamente, l'enfasi di DevSecOp sull'integrazione della sicurezza in ogni fase si sta dimostrando un approccio più sicuro allo sviluppo, soddisfacendo al contempo la velocità del rapido ciclo di release di oggi.

L'approccio DevSecOps offre vantaggi specifici:

• Maggiore sicurezza delle applicazioni
  DevSecOps integra un approccio proattivo per mitigare le minacce alla sicurezza informatica nelle prime fasi del ciclo di vita dello sviluppo. Ciò significa che i team di sviluppo si avvarranno di strumenti di sicurezza automatizzati per testare il codice in tempo reale, eseguendo audit di sicurezza senza rallentare i cicli di sviluppo.
  
  I team DevOps eseguiranno analisi, audit, test, scansione e debug del codice nelle varie fasi del processo di sviluppo per garantire che l'applicazione superi i checkpoint di sicurezza critici. Quando le vulnerabilità della sicurezza sono esposte, i team di sicurezza e sviluppo delle applicazioni lavoreranno in modo collaborativo su soluzioni a livello di codice per risolvere il problema.
  
  
• Proprietà cross-team
  DevSecOps riunisce i team di sviluppo e i team di sicurezza delle applicazioni nelle prime fasi del processo di sviluppo, creando un approccio collaborativo tra i team. Invece di operation separate ed eterogenee che soffocano l'innovazione e portano persino a divisioni tra le BU, DevSecOps permette ai team di essere allineati fin dall'inizio. Ciò favorisce il consenso e una collaborazione più efficiente tra i diversi team.
  
  
• Distribuzione delle applicazioni semplificata
  Integrando la sicurezza in anticipo e spesso nel ciclo di vita dello sviluppo, automatizzando il maggior numero possibile di processi di sicurezza e semplificando la creazione di report puoi migliorare la sicurezza e agevolare i team di compliance, facendo in modo che le pratiche di sicurezza favoriscano cicli di sviluppo rapidi.
  
  Ad esempio, se un team di sviluppo completa tutte le fasi di sviluppo iniziali di un'applicazione e scopre che esiste una serie di vulnerabilità della sicurezza proprio prima di portare l'applicazione in produzione, la distribuzione potrebbe subire un notevole ritardo.
  
  
• Contenimento delle vulnerabilità della sicurezza
  Utilizza l'automazione per identificare, gestire e applicare patch alle vulnerabilità e alle esposizioni comuni (CVE). Utilizza le soluzioni di scansione predefinite in anticipo e spesso per eseguire la scansione di qualsiasi immagine di container predefinita nella pipeline di build per CVE. Introduci misure di sicurezza che non solo riducano i rischi, ma forniscano anche informazioni approfondite ai team in modo che possano intervenire rapidamente quando vengono rilevate delle vulnerabilità.
  
  Uno dei principali vantaggi di DevSecOps è la possibilità di creare un processo di sviluppo agile e ottimizzato, un approccio che, se eseguito correttamente, può limitare notevolmente le vulnerabilità della sicurezza. Molti dei processi, delle attività e dei servizi di test della sicurezza informatica si integrano abbastanza facilmente con i servizi automatizzati disponibili in un team delle operation o di sviluppo delle applicazioni.
  
  Ponendo l'accento su un approccio al processo di sviluppo incentrato sulla sicurezza, le organizzazioni possono eliminare le variabili sconosciute che influenzeranno senza dubbio le tempistiche di release dei prodotti.

DevSecOps è importante nell'ambiente aziendale odierno per mitigare la crescente frequenza di attacchi informatici. Implementando in anticipo e spesso le iniziative di sicurezza, le applicazioni in diversi settori ottengono i vantaggi seguenti.

• Pubblica amministrazione: le applicazioni che gestiscono informazioni altamente sensibili della pubblica amministrazione sono un obiettivo costante di attacchi informatici malevoli. Rafforzando queste applicazioni con un approccio di sviluppo incentrato sulla sicurezza, la possibilità che entità malevole scoprano e sfruttino le vulnerabilità si riduce notevolmente.
• Sanità: DevSecOps sta diventando lo standard di riferimento per la progettazione delle applicazioni nel settore sanitario. Poiché le organizzazioni sono tenute a rispettare l'HIPAA, è sempre più evidente che un approccio incentrato sulla sicurezza riduce notevolmente la probabilità che le informazioni personali dei pazienti vengano esposte o sfruttate.
• Settore finanziario: DevSecOps aiuta anche le pratiche di sviluppo nel settore finanziario. Oggi, questo settore è uno dei principali obiettivi degli attacchi informatici, quindi le aziende di sviluppo stanno adottando un modello DevSecOps per limitare la possibilità che i dati sensibili diventino accessibili ai criminali informatici.

L'approccio di VMware a DevSecOps è concepito per fornire ai team di sviluppo lo stack di sicurezza completo. Ciò si ottiene stabilendo una collaborazione continua tra lo sviluppo, la gestione delle release (nota anche come operation) e il team di sicurezza dell'organizzazione e sottolineando questa collaborazione in ogni fase della pipeline CI/CD.

La pipeline CI/DI è suddivisa in sei fasi: codifica, creazione, archiviazione, preparazione, deployment ed esecuzione.

Ogni fase del workflow viene spiegata qui per illustrare i vantaggi dell'integrazione della sicurezza nelle prime fasi del processo.

• Codifica
  Il primo passo verso un approccio di sviluppo allineato a DevSecOps consiste nel codificare in segmenti sicuri e affidabili. VMware Tanzu® fornisce strumenti che eseguono aggiornamenti regolari per questi componenti di base sicuri per una migliore protezione dei dati e delle app fin dal primo giorno.
  
• Creazione
  Per acquisire il codice e distribuire immagini di container complete che contengono un sistema operativo core, dipendenze tra le applicazioni e altri servizi di runtime, è necessario un processo sicuro. VMware Tanzu Build Service™ gestisce questo aspetto in modo sicuro e fornisce scansioni delle dipendenze del runtime per migliorare la sicurezza, consentendo ai team DevSecOps di sviluppare con sicurezza e agilità.
• Archiviazione
  Nell'odierno panorama della sicurezza informatica in continua evoluzione, qualsiasi stack tecnologico deve essere considerato un rischio. Siamo arrivati a un punto in cui ogni servizio di back-end e tutte le app disponibili sul mercato devono essere continuamente controllati. Fortunatamente, con VMware, gli sviluppatori possono estrarre le dipendenze presunte in modo sicuro con VMware Tanzu ed eseguire la scansione delle vulnerabilità nell'immagine del container con VMware Carbon Black Cloud Container™.
• Preparazione
  Prima del deployment, le organizzazioni devono assicurarsi che l'applicazione sia conforme alle policy di sicurezza. Per raggiungere questo obiettivo, VMware Tanzu e Carbon Black Cloud Container possono convalidare le configurazioni rispetto alle policy di sicurezza dell'organizzazione prima di entrare nelle fasi successive del ciclo di sviluppo. Queste configurazioni definiscono la modalità di esecuzione del carico di lavoro, non solo fornendo informazioni approfondite sulle potenziali vulnerabilità, ma anche impostando le fasi successive della pipeline CI/CD per un deployment di successo.
• Deployment
  Le scansioni fornite nelle fasi precedenti offrono alle organizzazioni un quadro completo del livello di sicurezza dell'applicazione. Qui, le vulnerabilità o le configurazioni errate nel processo di sviluppo identificato vengono presentate in modo chiaro, consentendo alle organizzazioni di risolvere i problemi e definire standard di sicurezza più rigorosi per promuovere un livello di sicurezza più forte.
• Esecuzione
  Durante l'esecuzione dei deployment, i team SecOps possono utilizzare al meglio l'analisi, il monitoraggio e l'automazione del deployment attivo per assicurare la compliance continua, mitigando al contempo il rischio di vulnerabilità che emerge in seguito al deployment.

Dai nomi, è facile pensare che DevSecOps sia semplicemente DevOps con l'aggiunta della sicurezza, ma non è così.

DevOps, abbreviazione di sviluppo e operation, si concentra esclusivamente sulla collaborazione tra questi due team integrati nel processo di sviluppo. In questo caso, i due team lavorano insieme per sviluppare processi, KPI e traguardi da raggiungere in modo collaborativo. In questo modo, il team delle operation può analizzare più da vicino le fasi di distribuzione, valutando gli aggiornamenti continui e il feedback del team di sviluppo.

DevSecOps è un'iterazione di DevOps, nel senso che DevSecOps ha adottato il modello DevOps e ha incluso la sicurezza come layer aggiuntivo per il continuo processo di sviluppo e operation. Invece di considerare la sicurezza come un'aggiunta secondaria, DevSecOps coinvolge sin dall'inizio i team di sicurezza delle applicazioni per rafforzare il processo di sviluppo dal punto di vista della sicurezza e della mitigazione della vulnerabilità.