Come evitare vulnerabilità del software?
Vi ricordate di quando le stanze degli hotel non erano dotate di serrature automatiche? Le chiavi magnetiche sono oggi universali e le porte si aprono e si chiudono automaticamente, aumentando la sicurezza anche quando ci scordiamo di chiudere la porta.
Questa è una forma di Security Automation, che può essere paragonata a quella che viene oggigiorno applicata nello sviluppo software.
Perché affidarsi alla Security Automation?
Anche se può sembrare il contrario, se si automatizza la sicurezza in azienda si promuovono i principi DevOps, e quindi una cultura in cui si valorizzano le persone e la fiducia nei loro confronti, capaci di ridurre drasticamente le vulnerabilità.
Come si può automatizzare la sicurezza?
Iniziamo considerando il code review. Come pensate di integrare le revisioni del codice e sfruttare il pair programming? Avete implementato pratiche CI/CD (Continuous Integration/Continuous Development)? Al giorno d’oggi, infatti, è possibile avvalersi di tool e processi per collegare i deployments ai controlli di revisione e agli strumenti di continuous integration e utilizzare un tool di workflow costruito attorno al deployment automatico. Se ogni parte del processo è automatizzata, all’interno di ognuna di queste si hanno revisioni del codice in grado di agire come una sorta di approvazione, rendendo gli auditor felici. E quando gli auditor sono felici, lo sono tutti.
Oltre a code review e pratiche CI/CD, ecco alcuni fattori da considerare per gestire al meglio la Security Automation:
Rischio.
Alcune aziende o alcune applicazioni software non hanno voglia di rischiare, spesso per validi motivi. Ma siete ancora in tempo per approfittare di queste considerazioni e applicarle ai business case dove c’è un’esposizione minore al rischio
Formazione.
La formazione annuale è noiosa e le persone fanno di tutto pur di evitarla, ma questo non aiuta nessuno. Dando alla formazione interna una vena più ludica, aumenterete sicuramente la partecipazione e la retention.
OWASP.
L’Open Web Application Security Project è una grande risorsa, decisiva per la sicurezza delle applicazioni. Questo progetto si allinea perfettamente con le esigenze di Security e con le pratiche DevOps.
Tool.
Esistono svariate tipologie di tool allineate alla cultura DevOps. Non vi resta che trovare quella che più si adatta alla vostra azienda e implementarla.
Collaborazione.
Collaborate con il vostro team di sicurezza su ciascuno degli aspetti trattati.
