L’implementazione del DevSecOps può avere un grande impatto sulla creazione di un ambiente resiliente e sicuro. Se implementato correttamente, questo approccio permette agli sviluppatori di avere al momento giusto gli strumenti giusti e l’intuizione giusta per ottimizzare la sicurezza delle applicazioni in uso.
3. Emerasoft Srl
Data di nascita: 2005
Dove siamo:
Via Po, 1 – Torino
Piazzale Luigi Sturzo, 15 - Roma
“Il nostro impegno è nella costante ricerca della migliore soluzione
per il cliente, garantendo eccellenza nella qualità di servizi e
prodotti proposti. La nostra promessa è di svolgere il nostro lavoro
con costanza e passione”
6. Emerasoft Srl
Agenda
Webinar: “DevSecOps: early, everywhere, at scale”
APRILE
24 MAGGIO 2017
• DevSecOps Community Survey 2017
• Sicurezza e DevOps: lo stato attuale
• La sicurezza automatizzata
• La soluzione: Sonatype Nexus Lifecycle
9. In quale settore opera l’azienda?
dei partecipanti
opera nei servizi
finanziari, nei servizi
bancari e nel settore
tecnologico
il
Tecnologia
Servizi bancari
e finanziari
Servizi di
consulenza
Telecomunicazioni
Media e
intrattenimento
Vendita
Assistenza sanitaria
PA
Istruzione
Industria
Altri
13. In quanti credono che le
politiche/i team di sicurezza informatica
rallentino l'IT?
Le pratiche DevOps di alto livello hanno trovato un modo per integrare la sicurezza
alla stessa velocità dello sviluppo.
SI SI
DevOps non maturo o assente DevOps Maturo
58%
crede che la sicurezza
inibisca l'agilità DevOps
il 50%
degli sviluppatori sa che la
sicurezza è importante, ma
non ha abbastanza tempo da
dedicarle.
Secondo l’approccio attuale,
i vantaggi della sicurezza sono
solamente ostacoli,
poiché sottolineano le vulnerabilità
senza risolverle.
vede i vantaggi
della sicurezza
come “svantaggi”
15. In che punto del processo di sviluppo vengono avviate le analisi
di sicurezza delle applicazioni?
IN EVOLUZIONE
Design / Architecture Sviluppo Durante i QA/Test Prima di
rilasciarle
alla
produzione
Nella produzione Tutte le precedenti
Design / Architecture Durante i QA/Test Prima di
rilasciarle alla
produzione
Nella produzione Tutte le precedenti
Sviluppo
MATURO
16. Vengono eseguiti test automatizzati di sicurezza delle applicazioni
durante le pratiche CI/CD?
Pratiche DevOps di alto livello stanno implementando più sicurezza automatizzata.
solo il
dei partecipanti avvia
test di sicurezza
automatica durante
il CI/CD.
già il
ha test automatizzati
di sicurezza in
pratiche DevOps di
alto livello.
17. Quali sono gli strumenti per la sicurezza delle applicazioni in uso?
Tutte le risposte Pratiche DevOps di alto livello
SCA = Source Code Analysis
SAST = Static Application
Security Testing
DAST = Dynamic
Application Security
Testing
IAST = Interactive
Application Security Testing
RASP = Run Time
Application Security
Protection
WAF = Web Application
Firewall
19. Abbiamo attuato buone pratiche e strumenti di controllo di
versione, per mantenere trasparenza e tracciabilità in tutte le
applicazioni rilasciate in produzione.
Concorda
pienamente Concorda
Non
concorda
del tutto Non
concorda
affatto
ha implementato buone pratiche di
controllo di versione.
20. È possibile che l'80% di una
normale applicazione è
assemblata da componenti e
framework open source?
Eh si, sembra
proprio di si
Forse è un po’
esagerato
Forse è un po'
poco
21. Quante aziende hanno una politica
di governance open source?
(ad esempio, regole per l'uso di
buoni componenti e non dannosi)
SI SI
22. Viene controllato adeguatamente quali componenti open source
e di terze parti vengono utilizzati durante lo sviluppo?
delle aziende non ha
controlli significativi
sui componenti presenti
nelle proprie
applicazioni. ha un resoconto
completo del
materiale
software per ogni
applicazione.
il
il
24. L’azienda ha subito violazioni attribuibili a una vulnerabilità di un
componente o di una dipendenza open source negli ultimi 12 mesi?
sospetta o ha verificato
una violazione collegata a
componenti open source
nel sondaggio del 2014.
il il
sospetta o ha verificato
una violazione collegata a
componenti open source
negli ultimi 12 mesi.
25. 1 su 5 ha riscontrato o sospettato
vulnerabilità nelle web application
negli ultimi 12 mesi.
27. Non sono emersi vendor dominanti e i Docker container registry privati continuano a essere i più popolari.
Quali container registry privati vengono utilizzate?
Altri
29. SI
Ci affidiamo a prodotti per la sicurezza per identificare
applicazioni/OS/configurazioni vulnerabili nei container.
sostiene che la
sicurezza dei container
sia importante, ma
solo la metà l'ha
implementata.
31. Quale formazione sulla sicurezza delle applicazioni è disponibile?
di coloro che hanno
pratiche DevOps di
basso livello non
ricevono
formazione.
il
Nessuna
Coding/programmazione sicuri
Con un istruttore
Il Continuous Delivery rappresenta la capacità di apportare modifiche di ogni tipo (nuove funzioni, configurazioni, risoluzione di bachi ed esperimenti) in produzione o all’utente finale in modo sicuro, veloce e sostenibile.
Al contrario di quanto si possa intuire, il rilascio continuo di software - secondo i principi del DevOps - apporta benefici a tutti i livelli.
Nella diapositiva si mostra una classica catena DevOps per l’ottenimento del Continuous Delivery.
Dalla fase di creazione collaborativa del codice, alla fase di compilazione, attraverso test continui di integrazione fino all’approvvigionamento automatic e il rilascio continuo.