SlideShare a Scribd company logo

Webinar: "DevSecOps: early, everywhere, at scale"

Download as PPTX, PDF
Emerasoft, solutions to collaborate
Emerasoft, solutions to collaborate

L’implementazione del DevSecOps può avere un grande impatto sulla creazione di un ambiente resiliente e sicuro. Se implementato correttamente, questo approccio permette agli sviluppatori di avere al momento giusto gli strumenti giusti e l’intuizione giusta per ottimizzare la sicurezza delle applicazioni in uso.

Software
1 of 36
Emerasoft Srl • Emerasoft srl • Mission • Vision • Market & Solutions Monica Burzio Ugo Ciracì
Emerasoft Srl Data di nascita: 2005 Dove siamo: Via Po, 1 – Torino Piazzale Luigi Sturzo, 15 - Roma “Il nostro impegno è nella costante ricerca della migliore soluzione per il cliente, garantendo eccellenza nella qualità di servizi e prodotti proposti. La nostra promessa è di svolgere il nostro lavoro con costanza e passione”
Emerasoft Srl DevOps IoT Testing ALM SOA Business Intelligence Security University ALM+PLM standard compliance BRMS User Experience SS4B Enterprise Mobility agile IoD BPM OpenSource APIUsability Compliance Management ITSM
Emerasoft Srl DevOps IoT Testing ALM SOA Business Intelligence Security University ALM+PLM standard compliance BRMS User Experience SS4B Enterprise Mobility agile IoD BPM OpenSource APIUsability Compliance Management ITSM
Emerasoft Srl Agenda Webinar: “DevSecOps: early, everywhere, at scale” APRILE 24 MAGGIO 2017 • DevSecOps Community Survey 2017 • Sicurezza e DevOps: lo stato attuale • La sicurezza automatizzata • La soluzione: Sonatype Nexus Lifecycle
2.292persone hanno condiviso con noi le loro esperienze.
In quale settore opera l’azienda? dei partecipanti opera nei servizi finanziari, nei servizi bancari e nel settore tecnologico il Tecnologia Servizi bancari e finanziari Servizi di consulenza Telecomunicazioni Media e intrattenimento Vendita Assistenza sanitaria PA Istruzione Industria Altri
STATO ATTUALE
Livello adozione pratiche DevOps
ALLA RICERCA DI AGILITÀ
In quanti credono che le politiche/i team di sicurezza informatica rallentino l'IT? Le pratiche DevOps di alto livello hanno trovato un modo per integrare la sicurezza alla stessa velocità dello sviluppo. SI SI DevOps non maturo o assente DevOps Maturo 58% crede che la sicurezza inibisca l'agilità DevOps il 50% degli sviluppatori sa che la sicurezza è importante, ma non ha abbastanza tempo da dedicarle. Secondo l’approccio attuale, i vantaggi della sicurezza sono solamente ostacoli, poiché sottolineano le vulnerabilità senza risolverle. vede i vantaggi della sicurezza come “svantaggi”
SICUREZZA AUTOMATIZZATA
In che punto del processo di sviluppo vengono avviate le analisi di sicurezza delle applicazioni? IN EVOLUZIONE Design / Architecture Sviluppo Durante i QA/Test Prima di rilasciarle alla produzione Nella produzione Tutte le precedenti Design / Architecture Durante i QA/Test Prima di rilasciarle alla produzione Nella produzione Tutte le precedenti Sviluppo MATURO
Vengono eseguiti test automatizzati di sicurezza delle applicazioni durante le pratiche CI/CD? Pratiche DevOps di alto livello stanno implementando più sicurezza automatizzata. solo il dei partecipanti avvia test di sicurezza automatica durante il CI/CD. già il ha test automatizzati di sicurezza in pratiche DevOps di alto livello.
Quali sono gli strumenti per la sicurezza delle applicazioni in uso? Tutte le risposte Pratiche DevOps di alto livello SCA = Source Code Analysis SAST = Static Application Security Testing DAST = Dynamic Application Security Testing IAST = Interactive Application Security Testing RASP = Run Time Application Security Protection WAF = Web Application Firewall
ATTUARE UN CONTROLLO
Abbiamo attuato buone pratiche e strumenti di controllo di versione, per mantenere trasparenza e tracciabilità in tutte le applicazioni rilasciate in produzione. Concorda pienamente Concorda Non concorda del tutto Non concorda affatto ha implementato buone pratiche di controllo di versione.
È possibile che l'80% di una normale applicazione è assemblata da componenti e framework open source? Eh si, sembra proprio di si Forse è un po’ esagerato Forse è un po' poco
Quante aziende hanno una politica di governance open source? (ad esempio, regole per l'uso di buoni componenti e non dannosi) SI SI
Viene controllato adeguatamente quali componenti open source e di terze parti vengono utilizzati durante lo sviluppo? delle aziende non ha controlli significativi sui componenti presenti nelle proprie applicazioni. ha un resoconto completo del materiale software per ogni applicazione. il il
FALLE NELLA SICUREZZA? CAPITA
L’azienda ha subito violazioni attribuibili a una vulnerabilità di un componente o di una dipendenza open source negli ultimi 12 mesi? sospetta o ha verificato una violazione collegata a componenti open source nel sondaggio del 2014. il il sospetta o ha verificato una violazione collegata a componenti open source negli ultimi 12 mesi.
1 su 5 ha riscontrato o sospettato vulnerabilità nelle web application negli ultimi 12 mesi.
SICUREZZA DEI CONTAINER
Non sono emersi vendor dominanti e i Docker container registry privati continuano a essere i più popolari. Quali container registry privati vengono utilizzate? Altri
Concorda pienamente Concorda Non concorda del tutto Non concorda affatto Quando si impiegano i container, la sicurezza è una nostra priorità. concorda sul fatto che la sicurezza sia una priorità quando si impiegano i container.
SI Ci affidiamo a prodotti per la sicurezza per identificare applicazioni/OS/configurazioni vulnerabili nei container. sostiene che la sicurezza dei container sia importante, ma solo la metà l'ha implementata.
FORMAZIONE
Quale formazione sulla sicurezza delle applicazioni è disponibile? di coloro che hanno pratiche DevOps di basso livello non ricevono formazione. il Nessuna Coding/programmazione sicuri Con un istruttore
SONATYPE SOLUTION
VULNERABILITIES LICENCES POLICIES SONATYPE NEXUS LIFECYCLE HIGH MEDIUM LOW RISK LEVEL JAR JS .NET PY DOCKER DEV TEST INT QA UAT PRD 3RD PARTIES COMPONENTS IDE INTEGRATION ABSTRACTION CONTROL
Web Application Firewall https://www.sonatype.com/devsecops GARTNER RESEARCH 'DEVSECOPS: HOW TO SEAMLESSLY INTEGRATE SECURITY INTO DEVOPS' http://www.devsecops.org/ DEVSECOPS MANIFESTO Web Application Firewall https://nvd.nist.gov/ NIST NATIONAL VULNERABILITIES DATABASE DEVSECOPS REFERENCES
WHAT’S NEXT Contenuti disponibili su: Canale slideshare di Emerasoft Canale Youtube Emerasoft Visita il nostro sito emerasoft.com Contattaci: sales@emerasoft.com @ WWW
Segui i nostri canali… www.emerasoft.com sales@emerasoft.com Emerasoft Srl via Po, 1 – 10124 Torino Piazzale Luigi Sturzo, 15 - 00144 Roma T +39 011 0120370 T +39 06 87811323 F +39 011 3710371 Grazie… Contatti

Recommended

Webinar: Il 23% dei componenti di un’applicazione è vulnerabile. Sei sicuro d...
Webinar: Il 23% dei componenti di un’applicazione è vulnerabile. Sei sicuro d...Webinar: Il 23% dei componenti di un’applicazione è vulnerabile. Sei sicuro d...
Webinar: Il 23% dei componenti di un’applicazione è vulnerabile. Sei sicuro d...Emerasoft, solutions to collaborate
 
Webinar: "DevOps e Orchestrazione Bimodale dei Processi IT"
Webinar: "DevOps e Orchestrazione Bimodale dei Processi IT"Webinar: "DevOps e Orchestrazione Bimodale dei Processi IT"
Webinar: "DevOps e Orchestrazione Bimodale dei Processi IT"Emerasoft, solutions to collaborate
 
Webinar: "Abbatti le inefficienze e ottimizza i processi aziendali con myInve...
Webinar: "Abbatti le inefficienze e ottimizza i processi aziendali con myInve...Webinar: "Abbatti le inefficienze e ottimizza i processi aziendali con myInve...
Webinar: "Abbatti le inefficienze e ottimizza i processi aziendali con myInve...Emerasoft, solutions to collaborate
 
Agile Project Framework
Agile Project FrameworkAgile Project Framework
Agile Project FrameworkSimone Onofri
 
- Codemotion Rome 2015
- Codemotion Rome 2015- Codemotion Rome 2015
- Codemotion Rome 2015Codemotion
 
L'Occhio di Ra sul Testing
L'Occhio di Ra sul TestingL'Occhio di Ra sul Testing
L'Occhio di Ra sul TestingFelice Pescatore
 
Agilozzi le testa tutte
Agilozzi le testa tutteAgilozzi le testa tutte
Agilozzi le testa tutteFelice Pescatore
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 

Recommended

Webinar: Il 23% dei componenti di un’applicazione è vulnerabile. Sei sicuro d...
Webinar: Il 23% dei componenti di un’applicazione è vulnerabile. Sei sicuro d...Webinar: Il 23% dei componenti di un’applicazione è vulnerabile. Sei sicuro d...
Webinar: Il 23% dei componenti di un’applicazione è vulnerabile. Sei sicuro d...Emerasoft, solutions to collaborate
 
Webinar: "DevOps e Orchestrazione Bimodale dei Processi IT"
Webinar: "DevOps e Orchestrazione Bimodale dei Processi IT"Webinar: "DevOps e Orchestrazione Bimodale dei Processi IT"
Webinar: "DevOps e Orchestrazione Bimodale dei Processi IT"Emerasoft, solutions to collaborate
 
Webinar: "Abbatti le inefficienze e ottimizza i processi aziendali con myInve...
Webinar: "Abbatti le inefficienze e ottimizza i processi aziendali con myInve...Webinar: "Abbatti le inefficienze e ottimizza i processi aziendali con myInve...
Webinar: "Abbatti le inefficienze e ottimizza i processi aziendali con myInve...Emerasoft, solutions to collaborate
 
Agile Project Framework
Agile Project FrameworkAgile Project Framework
Agile Project FrameworkSimone Onofri
 
- Codemotion Rome 2015
- Codemotion Rome 2015- Codemotion Rome 2015
- Codemotion Rome 2015Codemotion
 
L'Occhio di Ra sul Testing
L'Occhio di Ra sul TestingL'Occhio di Ra sul Testing
L'Occhio di Ra sul TestingFelice Pescatore
 
Agilozzi le testa tutte
Agilozzi le testa tutteAgilozzi le testa tutte
Agilozzi le testa tutteFelice Pescatore
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 
Total Testing in DevOps
Total Testing in DevOpsTotal Testing in DevOps
Total Testing in DevOpsGianni Bombelli
 
Programmazione + Ingegnerizzazione = $ BUSINESS - Gorga
Programmazione + Ingegnerizzazione = $ BUSINESS - GorgaProgrammazione + Ingegnerizzazione = $ BUSINESS - Gorga
Programmazione + Ingegnerizzazione = $ BUSINESS - GorgaCodemotion
 
Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...
Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...
Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...Emerasoft, solutions to collaborate
 
Visaggio fd l13_9_18
Visaggio fd l13_9_18Visaggio fd l13_9_18
Visaggio fd l13_9_18Redazione InnovaPuglia
 
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Emerasoft, solutions to collaborate
 
Linux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglinoLinux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglinovincenzo buglino
 
Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...
Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...
Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...Emerasoft, solutions to collaborate
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU
 
Seqrite Italia Portfolio 2018
Seqrite Italia Portfolio 2018Seqrite Italia Portfolio 2018
Seqrite Italia Portfolio 2018netWork S.a.s
 
PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015
PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015
PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015Redazione InnovaPuglia
 
DevOps - Come diventare un buon DevOpper
DevOps - Come diventare un buon DevOpperDevOps - Come diventare un buon DevOpper
DevOps - Come diventare un buon DevOpperConsulthinkspa
 
Open DevSecOps 2019 - La ricreazione è finita - a cura di SUSE
Open DevSecOps 2019 - La ricreazione è finita - a cura di SUSEOpen DevSecOps 2019 - La ricreazione è finita - a cura di SUSE
Open DevSecOps 2019 - La ricreazione è finita - a cura di SUSEEmerasoft, solutions to collaborate
 
TIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalTIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalElena Vaciago
 
DevOps: l'IT al servizio del Business
DevOps: l'IT al servizio del BusinessDevOps: l'IT al servizio del Business
DevOps: l'IT al servizio del BusinessFelice Pescatore
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Marco Morana
 
La logisitca del Software OSS
La logisitca del Software OSSLa logisitca del Software OSS
La logisitca del Software OSSStefano La Gona
 
La logisitca del software oss
La logisitca del software ossLa logisitca del software oss
La logisitca del software ossStefano La Gona
 
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoWebinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoPar-Tec S.p.A.
 
L'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a portaL'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a portaMicrofocusitalia
 
Ideare un app e farla fruttare: quanti modi? Quale scegliere?
Ideare un app e farla fruttare: quanti modi? Quale scegliere?Ideare un app e farla fruttare: quanti modi? Quale scegliere?
Ideare un app e farla fruttare: quanti modi? Quale scegliere?Diego La Monica
 
PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAPPAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAPEmerasoft, solutions to collaborate
 
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementPercezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementEmerasoft, solutions to collaborate
 

More Related Content

Similar to Webinar: "DevSecOps: early, everywhere, at scale"

Programmazione + Ingegnerizzazione = $ BUSINESS - Gorga
Programmazione + Ingegnerizzazione = $ BUSINESS - GorgaProgrammazione + Ingegnerizzazione = $ BUSINESS - Gorga
Programmazione + Ingegnerizzazione = $ BUSINESS - GorgaCodemotion
 
Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...
Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...
Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...Emerasoft, solutions to collaborate
 
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Emerasoft, solutions to collaborate
 
Linux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglinoLinux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglinovincenzo buglino
 
Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...
Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...
Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...Emerasoft, solutions to collaborate
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU
 
Seqrite Italia Portfolio 2018
Seqrite Italia Portfolio 2018Seqrite Italia Portfolio 2018
Seqrite Italia Portfolio 2018netWork S.a.s
 
PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015
PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015
PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015Redazione InnovaPuglia
 
DevOps - Come diventare un buon DevOpper
DevOps - Come diventare un buon DevOpperDevOps - Come diventare un buon DevOpper
DevOps - Come diventare un buon DevOpperConsulthinkspa
 
TIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalTIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalElena Vaciago
 
DevOps: l'IT al servizio del Business
DevOps: l'IT al servizio del BusinessDevOps: l'IT al servizio del Business
DevOps: l'IT al servizio del BusinessFelice Pescatore
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Marco Morana
 
La logisitca del Software OSS
La logisitca del Software OSSLa logisitca del Software OSS
La logisitca del Software OSSStefano La Gona
 
La logisitca del software oss
La logisitca del software ossLa logisitca del software oss
La logisitca del software ossStefano La Gona
 
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoWebinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoPar-Tec S.p.A.
 
L'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a portaL'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a portaMicrofocusitalia
 
Ideare un app e farla fruttare: quanti modi? Quale scegliere?
Ideare un app e farla fruttare: quanti modi? Quale scegliere?Ideare un app e farla fruttare: quanti modi? Quale scegliere?
Ideare un app e farla fruttare: quanti modi? Quale scegliere?Diego La Monica
 

Similar to Webinar: "DevSecOps: early, everywhere, at scale" (20)

Total Testing in DevOps
Total Testing in DevOpsTotal Testing in DevOps
Total Testing in DevOps
 
Programmazione + Ingegnerizzazione = $ BUSINESS - Gorga
Programmazione + Ingegnerizzazione = $ BUSINESS - GorgaProgrammazione + Ingegnerizzazione = $ BUSINESS - Gorga
Programmazione + Ingegnerizzazione = $ BUSINESS - Gorga
 
Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...
Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...
Webinar: “Testing automatico: la scelta vincente per ottenere una riduzione d...
 
Visaggio fd l13_9_18
Visaggio fd l13_9_18Visaggio fd l13_9_18
Visaggio fd l13_9_18
 
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
 
Linux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglinoLinux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglino
 
Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...
Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...
Webinar: Il “real device testing” di Perfecto Mobile per una strategia mobile...
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
 
Seqrite Italia Portfolio 2018
Seqrite Italia Portfolio 2018Seqrite Italia Portfolio 2018
Seqrite Italia Portfolio 2018
 
PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015
PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015
PERCHE' E COME SI VALUTA LA QUALITA' DEL SOFTWARE19 06_2015
 
DevOps - Come diventare un buon DevOpper
DevOps - Come diventare un buon DevOpperDevOps - Come diventare un buon DevOpper
DevOps - Come diventare un buon DevOpper
 
Open DevSecOps 2019 - La ricreazione è finita - a cura di SUSE
Open DevSecOps 2019 - La ricreazione è finita - a cura di SUSEOpen DevSecOps 2019 - La ricreazione è finita - a cura di SUSE
Open DevSecOps 2019 - La ricreazione è finita - a cura di SUSE
 
TIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 FinalTIGPaper_DevOps_170615 Final
TIGPaper_DevOps_170615 Final
 
DevOps: l'IT al servizio del Business
DevOps: l'IT al servizio del BusinessDevOps: l'IT al servizio del Business
DevOps: l'IT al servizio del Business
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'
 
La logisitca del Software OSS
La logisitca del Software OSSLa logisitca del Software OSS
La logisitca del Software OSS
 
La logisitca del software oss
La logisitca del software ossLa logisitca del software oss
La logisitca del software oss
 
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoWebinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
 
L'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a portaL'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a porta
 
Ideare un app e farla fruttare: quanti modi? Quale scegliere?
Ideare un app e farla fruttare: quanti modi? Quale scegliere?Ideare un app e farla fruttare: quanti modi? Quale scegliere?
Ideare un app e farla fruttare: quanti modi? Quale scegliere?
 

More from Emerasoft, solutions to collaborate

Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementPercezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementEmerasoft, solutions to collaborate
 
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelliwebinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelliEmerasoft, solutions to collaborate
 
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps PlatformIl DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps PlatformEmerasoft, solutions to collaborate
 
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022Emerasoft, solutions to collaborate
 
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Emerasoft, solutions to collaborate
 
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...Emerasoft, solutions to collaborate
 
La Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream ManagementLa Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream ManagementEmerasoft, solutions to collaborate
 
INAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development PackINAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development PackEmerasoft, solutions to collaborate
 
Polarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in aziendaPolarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in aziendaEmerasoft, solutions to collaborate
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsEmerasoft, solutions to collaborate
 
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...Emerasoft, solutions to collaborate
 

More from Emerasoft, solutions to collaborate (20)

PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAPPAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
 
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementPercezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
 
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelliwebinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
 
ComeToCode 2022 - speech di Emerasoft
ComeToCode 2022 - speech di EmerasoftComeToCode 2022 - speech di Emerasoft
ComeToCode 2022 - speech di Emerasoft
 
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps PlatformIl DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
 
Onboarding digitale sulle piattaforme della PA - 13.04.pdf
Onboarding digitale sulle piattaforme della PA - 13.04.pdfOnboarding digitale sulle piattaforme della PA - 13.04.pdf
Onboarding digitale sulle piattaforme della PA - 13.04.pdf
 
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
 
Viaggio nel mondo a servizi, come prepararsi per l'avventura
Viaggio nel mondo a servizi, come prepararsi per l'avventuraViaggio nel mondo a servizi, come prepararsi per l'avventura
Viaggio nel mondo a servizi, come prepararsi per l'avventura
 
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
 
Digitaltogether 2.0 IL MANIFESTO
Digitaltogether 2.0 IL MANIFESTODigitaltogether 2.0 IL MANIFESTO
Digitaltogether 2.0 IL MANIFESTO
 
POLARION by SIEMENS & GITLAB, una coppia vincente
POLARION by SIEMENS & GITLAB, una coppia vincentePOLARION by SIEMENS & GITLAB, una coppia vincente
POLARION by SIEMENS & GITLAB, una coppia vincente
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
 
La Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream ManagementLa Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream Management
 
INAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development PackINAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
 
Polarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in aziendaPolarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in azienda
 
Api gitlab: configurazione dei progetti as a service
Api gitlab: configurazione dei progetti as a serviceApi gitlab: configurazione dei progetti as a service
Api gitlab: configurazione dei progetti as a service
 
Smartbear: un framework unico per testare API e UI
Smartbear: un framework unico per testare API e UISmartbear: un framework unico per testare API e UI
Smartbear: un framework unico per testare API e UI
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio Devops
 
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
 

Webinar: "DevSecOps: early, everywhere, at scale"

  • 1.
  • 2. Emerasoft Srl • Emerasoft srl • Mission • Vision • Market & Solutions Monica Burzio Ugo Ciracì
  • 3. Emerasoft Srl Data di nascita: 2005 Dove siamo: Via Po, 1 – Torino Piazzale Luigi Sturzo, 15 - Roma “Il nostro impegno è nella costante ricerca della migliore soluzione per il cliente, garantendo eccellenza nella qualità di servizi e prodotti proposti. La nostra promessa è di svolgere il nostro lavoro con costanza e passione”
  • 4. Emerasoft Srl DevOps IoT Testing ALM SOA Business Intelligence Security University ALM+PLM standard compliance BRMS User Experience SS4B Enterprise Mobility agile IoD BPM OpenSource APIUsability Compliance Management ITSM
  • 5. Emerasoft Srl DevOps IoT Testing ALM SOA Business Intelligence Security University ALM+PLM standard compliance BRMS User Experience SS4B Enterprise Mobility agile IoD BPM OpenSource APIUsability Compliance Management ITSM
  • 6. Emerasoft Srl Agenda Webinar: “DevSecOps: early, everywhere, at scale” APRILE 24 MAGGIO 2017 • DevSecOps Community Survey 2017 • Sicurezza e DevOps: lo stato attuale • La sicurezza automatizzata • La soluzione: Sonatype Nexus Lifecycle
  • 7.
  • 8. 2.292persone hanno condiviso con noi le loro esperienze.
  • 9. In quale settore opera l’azienda? dei partecipanti opera nei servizi finanziari, nei servizi bancari e nel settore tecnologico il Tecnologia Servizi bancari e finanziari Servizi di consulenza Telecomunicazioni Media e intrattenimento Vendita Assistenza sanitaria PA Istruzione Industria Altri
  • 13. In quanti credono che le politiche/i team di sicurezza informatica rallentino l'IT? Le pratiche DevOps di alto livello hanno trovato un modo per integrare la sicurezza alla stessa velocità dello sviluppo. SI SI DevOps non maturo o assente DevOps Maturo 58% crede che la sicurezza inibisca l'agilità DevOps il 50% degli sviluppatori sa che la sicurezza è importante, ma non ha abbastanza tempo da dedicarle. Secondo l’approccio attuale, i vantaggi della sicurezza sono solamente ostacoli, poiché sottolineano le vulnerabilità senza risolverle. vede i vantaggi della sicurezza come “svantaggi”
  • 15. In che punto del processo di sviluppo vengono avviate le analisi di sicurezza delle applicazioni? IN EVOLUZIONE Design / Architecture Sviluppo Durante i QA/Test Prima di rilasciarle alla produzione Nella produzione Tutte le precedenti Design / Architecture Durante i QA/Test Prima di rilasciarle alla produzione Nella produzione Tutte le precedenti Sviluppo MATURO
  • 16. Vengono eseguiti test automatizzati di sicurezza delle applicazioni durante le pratiche CI/CD? Pratiche DevOps di alto livello stanno implementando più sicurezza automatizzata. solo il dei partecipanti avvia test di sicurezza automatica durante il CI/CD. già il ha test automatizzati di sicurezza in pratiche DevOps di alto livello.
  • 17. Quali sono gli strumenti per la sicurezza delle applicazioni in uso? Tutte le risposte Pratiche DevOps di alto livello SCA = Source Code Analysis SAST = Static Application Security Testing DAST = Dynamic Application Security Testing IAST = Interactive Application Security Testing RASP = Run Time Application Security Protection WAF = Web Application Firewall
  • 19. Abbiamo attuato buone pratiche e strumenti di controllo di versione, per mantenere trasparenza e tracciabilità in tutte le applicazioni rilasciate in produzione. Concorda pienamente Concorda Non concorda del tutto Non concorda affatto ha implementato buone pratiche di controllo di versione.
  • 20. È possibile che l'80% di una normale applicazione è assemblata da componenti e framework open source? Eh si, sembra proprio di si Forse è un po’ esagerato Forse è un po' poco
  • 21. Quante aziende hanno una politica di governance open source? (ad esempio, regole per l'uso di buoni componenti e non dannosi) SI SI
  • 22. Viene controllato adeguatamente quali componenti open source e di terze parti vengono utilizzati durante lo sviluppo? delle aziende non ha controlli significativi sui componenti presenti nelle proprie applicazioni. ha un resoconto completo del materiale software per ogni applicazione. il il
  • 24. L’azienda ha subito violazioni attribuibili a una vulnerabilità di un componente o di una dipendenza open source negli ultimi 12 mesi? sospetta o ha verificato una violazione collegata a componenti open source nel sondaggio del 2014. il il sospetta o ha verificato una violazione collegata a componenti open source negli ultimi 12 mesi.
  • 25. 1 su 5 ha riscontrato o sospettato vulnerabilità nelle web application negli ultimi 12 mesi.
  • 27. Non sono emersi vendor dominanti e i Docker container registry privati continuano a essere i più popolari. Quali container registry privati vengono utilizzate? Altri
  • 28. Concorda pienamente Concorda Non concorda del tutto Non concorda affatto Quando si impiegano i container, la sicurezza è una nostra priorità. concorda sul fatto che la sicurezza sia una priorità quando si impiegano i container.
  • 29. SI Ci affidiamo a prodotti per la sicurezza per identificare applicazioni/OS/configurazioni vulnerabili nei container. sostiene che la sicurezza dei container sia importante, ma solo la metà l'ha implementata.
  • 31. Quale formazione sulla sicurezza delle applicazioni è disponibile? di coloro che hanno pratiche DevOps di basso livello non ricevono formazione. il Nessuna Coding/programmazione sicuri Con un istruttore
  • 33. VULNERABILITIES LICENCES POLICIES SONATYPE NEXUS LIFECYCLE HIGH MEDIUM LOW RISK LEVEL JAR JS .NET PY DOCKER DEV TEST INT QA UAT PRD 3RD PARTIES COMPONENTS IDE INTEGRATION ABSTRACTION CONTROL
  • 34. Web Application Firewall https://www.sonatype.com/devsecops GARTNER RESEARCH 'DEVSECOPS: HOW TO SEAMLESSLY INTEGRATE SECURITY INTO DEVOPS' http://www.devsecops.org/ DEVSECOPS MANIFESTO Web Application Firewall https://nvd.nist.gov/ NIST NATIONAL VULNERABILITIES DATABASE DEVSECOPS REFERENCES
  • 35. WHAT’S NEXT Contenuti disponibili su: Canale slideshare di Emerasoft Canale Youtube Emerasoft Visita il nostro sito emerasoft.com Contattaci: sales@emerasoft.com @ WWW
  • 36. Segui i nostri canali… www.emerasoft.com sales@emerasoft.com Emerasoft Srl via Po, 1 – 10124 Torino Piazzale Luigi Sturzo, 15 - 00144 Roma T +39 011 0120370 T +39 06 87811323 F +39 011 3710371 Grazie… Contatti

Editor's Notes

  1. Il Continuous Delivery rappresenta la capacità di apportare modifiche di ogni tipo (nuove funzioni, configurazioni, risoluzione di bachi ed esperimenti) in produzione o all’utente finale in modo sicuro, veloce e sostenibile. Al contrario di quanto si possa intuire, il rilascio continuo di software - secondo i principi del DevOps - apporta benefici a tutti i livelli. Nella diapositiva si mostra una classica catena DevOps per l’ottenimento del Continuous Delivery. Dalla fase di creazione collaborativa del codice, alla fase di compilazione, attraverso test continui di integrazione fino all’approvvigionamento automatic e il rilascio continuo.