Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Business Application

DevSecOps: cosa significa progettare applicazioni di successo nell’era digitale

DevSecOps spiegato alle LOB. Perché farlo? Perché l’evoluzione digitale oggi impone ai manager di occuparsi di tematiche ad alto tasso tecnologico: capire terminologie e funzionalità ICT aiuta a orientare meglio decisioni e strategie

04 Apr 2018

Laura Zanotti

DevSecOps che significato ha per il business? Comprendere la definizione aiuta a capire gli obiettivi: il termine DevSecOps nasce dall’unione di DEVelopment (l’attività di programmazione che include tutte le funzioni di sviluppo), SECurity (l’attività di messa in sicurezza dell’applicazione a livello funzionale e operativo) e OPerationS (l’attività di messa in produzione di un’applicazione, generalmente definita come operatività informatica).

Perché parlare di DevSecOps alle linee di business? Perché l’evoluzione digitale oggi impone ai manager di occuparsi di tematiche ad alto tasso tecnologico: capire terminologie e funzionalità ICT aiuta a orientare meglio decisioni e strategie. A questo proposito va ricordato anche che c’è stato un tempo in cui gli IT manager hanno fatto il primo passo, quando hanno dovuto imparare il linguaggio del business per rispondere in maniera più adeguata alla domanda crescente di prodotti e servizi che arrivavano dalle varie divisioni aziendali. Oggi è arrivato il momento in cui sono le LOB a dover imparare il linguaggio dell’IT per innescare una collaborazione virtuosa, orientata all’innovazione. Conoscere i tech topic, infatti, non è più solo roba da nerd: è una questione culturale. Per essere davvero agile un’azienda deve poter contare su infrastrutture adeguate ma anche su risorse più preparate a cogliere le dinamiche dello sviluppo. Imparare a conoscere il significato di molte tecnologie favorisce una cultura illuminata da cui potrà dipendere il successo (o l’insuccesso) aziendale.

Come riconoscere il valore della programmazione per il business

Perché portare all’attenzione delle LOB il tema del DevSecOps? La risposta è semplice: perché dalla qualità e dalla sicurezza delle applicazioni dipende il successo del business. I clienti non solo si aspettano di interagire senza problemi con i servizi aziendali ma vogliono poterlo fare, operando su più canali e su più dispostivi senza problemi. Una della principali caratteristiche della digital transformation, infatti, è garantire agli utenti/clienti un’esperienza funzionale, multimediale e omnicanale. Il che significa garantire applicazioni di qualità. Questo vale sia a livello di front end, ad esempio nel caso delle app o dei browser mobile fruiti dai clienti finali, sia a livello di back end, ovvero nell’ambito di tutti i servizi applicativi, legati al funzionamento delle infrastrutture di supporto all’operatività aziendale.

DevSecOps come chiave strategica di uno sviluppo agile

Fornire nuovo valore ai clienti in modo rapido e sicuro richiede nuove tecnologie e nuovi modi di lavorare. Negli ambienti statici tradizionali, i team applicativi possono fare affidamento su metriche di base come l’uptime e l’utilizzo della CPU per valutare lo stato di salute di un’applicazione. Negli ambienti più dinamici e innovativi, questa attività si declina in una complessa rete di servizi che tengono conto anche dell’esperienza lato utente. Comprendere la salute dell’applicazione richiede un approccio olistico che include i risultati di business generati dall’applicazione. La velocità di rilascio da cui dipende il time to market del business, dunque, non è e non deve essere l’unica condizione della programmazione: una chiave di valore è la qualità. La digital transformation, infatti, è un percorso evolutivo che impone alle applicazioni di essere essere sempre aggiornate ma anche sempre protette. Solo così si garantisce la soddisfazione e la fidelizzazione degli utenti. Questo significa che non è più possibile prevedere un’unica fase di testing all’interno del ciclo di sviluppo del softwareEd ecco perché il DevSecOps fa la differenza.

Testing, sicurezza e metriche: le cose da sapere

Secondo Gartner, da qui al 2019, oltre la metà delle iniziative DevOps aziendali incorporeranno nella personalizzazione del codice i test per la sicurezza delle applicazioni (AST – Application Security Testing).

DevSecOps-magic-quadrant

Il mercato dell’AST è  un mercato in forte crescita. Include buyer e vendor di prodotti e servizi progettati per analizzare e testare le applicazioni per le vulnerabilità della sicurezza. Quello che i manager devono sapere è che il mondo della programmazione non è univoco e universale: nell’elaborazione del codice, infatti, ogni programmatore segue un proprio stile e un proprio modello di sviluppo. Per aiutare a fare chiarezza gli analisti di Gartner hanno segmentato il mercato dell’AST in 4 categorie: SAST, DAST, IAST e MAST. Di seguito che cosa significano.

SAST – Static Application Security Testing

La tecnologia AST statica (SAST) rileva la vulnerabilità di un’applicazione analizzando il codice sorgente, il codice bytecode o il codice binario durante tutte le fasi di programmazione e / o i test durante il ciclo di vita del software (SLC – Software Lifecycle Management).

DAST – Dynamic Application Security Testing

La tecnologia AST dinamica (DAST) analizza in modo dinamico il funzionamento delle applicazioni sia durante le fasi di test che durante le fasi operative. L’attività prevede simulazioni di attacchi contro l’applicazione (soprattutto nel caso di applicazioni e servizi abilitati al web), analizzando anche le reazioni dell’applicazione in modo da determinare nel dettaglio il livello di vulnerabilità.

IAST – Interactive Application Security Testing

La tecnologia AST (IAST) è interattiva, combinando elementi del SAST e del DAST contemporaneamente. In genere viene implementata come agente, nel momento in cui un programma viene eseguito in fase di test (questa fase è detta fase di runtime NdR), consentendo così di osservare operazioni o attacchi che aiutano a identificare le possibili vulnerabilità applicative.

MAST – Mobile Application Security Testing

Il Mobile AST esegue analisi SAST, DAST, IAST e / o comportamentali su codice byte o binario per identificare le vulnerabilità nelle applicazioni mobili.

DevSecOps: sviluppare informati

Riassumendo, l’unico modo che le aziende hanno di ottenere applicazioni di qualità è di continuare a testare il codice. I controlli non possono più essere prerogativa dei soli addetti QA (Quality Assurance), bensì anche gli sviluppatori devono avere la possibilità di effettuare i loro test sul codice in fase di produzione, in modo da verificare quanto del loro codice è protetto e sicuro. Seguendo una strategia DevSecOps, le organizzazioni possono accrescere notevolmente la loro agilità in ambito digitale, riducendo allo stesso tempo rischi e costi derivanti dalle nuove tecnologie.

@RIPRODUZIONE RISERVATA
Laura Zanotti
Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

Articolo 1 di 5