Dal DevSecOps al GDPR: perché è importante gestire i rischi dell’open source?
Viviamo all’interno di un’Application Economy che si presenta a tutti gli effetti come un’arma a doppio taglio. Da un lato l’innovazione regna sovrana, la velocità è fondamentale e i CEO spronano i team di sviluppo ad eseguire rilasci più velocemente, a incrementare la qualità e ad accelerare l’innovazione. Dall’altro, il risk management è il re indiscusso, la governance è cruciale e i CEO (insieme agli auditor) spingono le aziende IT a creare dei controlli per minimizzare i rischi e automatizzare la compliance con una miriade di requisiti normativi, tra cui il GDPR, la nuova normativa europea in tema di trattamento di dati personali che dal 5/2018 diventerà obbligatoria. Il GDPR, a tal proposito, impone alle aziende di conoscere dove e come i dati privati dei cittadini UE vengono memorizzati e di dimostrare che tali dati sono adeguatamente protetti “by design” e “by default” con opportune garanzie lungo tutto il ciclo di vita del software, dallo sviluppo alle operations.
Bloccati nel mezzo di quest’”arma a doppio taglio” si trovano tutti coloro che gestiscono la moderna software factory (ovvero gli sviluppatori, i software architects, gli IT specialist e gli operation manager), per i quali la forte pressione a innovare più velocemente non può essere una scusa per trovare dei compromessi in termini di compliance. Occorre infatti andare in profondità, eliminare i silos esistenti, collaborare in modo più efficace e trovare delle soluzioni per soddisfare entrambi i fronti dell’Application Economy.
Nel mondo concorrenziale di oggi, l’open source è una scelta stimolante per tutti gli sviluppatori software: investire tempo e denaro per sviluppare un software da zero non avrebbe senso se si ha la possibilità di “sfruttare” un software open source condiviso gratuitamente. Comprensibilmente, queste dinamiche creano tra gli sviluppatori un insaziabile appetito nei confronti dell’open source; basti pensare che solo lo scorso anno gli sviluppatori hanno scaricato dai repository pubblici 52 miliardi di componenti Java e 59 miliardi di componenti JavaScript.
L’open source offre enormi energie per i moderni team di sviluppo, ma crea anche al contempo una sfida unica e difficile per i moderni IT risk manager. Le ragioni sono semplici: i componenti open source non sono tutti uguali e possono esaurire rapidamente, esponendo le aziende a rischi elevati.
Quindi, per soddisfare entrambe le esigenze di questo sistema e prosperare nell’Application Economy di oggi, i team IT devono:
- continuare ad accelerare l’innovazione sfruttando tutti i benefici che si possono trarre dall’open source
- minimizzare i rischi gestendo continuamente la qualità dei componenti open source, automatizzando l’applicazione delle policy di sicurezza e garantendo la conformità alle normative vigenti, come il GDPR appunto.
