Funzioni di sicurezza delle applicazioni e DevSecOps
L'obiettivo della sicurezza delle applicazioni e DevSecOps è integrare le garanzie di sicurezza nei processi di sviluppo e nelle applicazioni line-of-business personalizzate.
Modernizzazione
Lo sviluppo di applicazioni viene rapidamente rimodellato in più aspetti in modo simultaneo, tra cui il modello di team DevOps, la cadenza rapida delle versioni DevOps e la composizione tecnica delle applicazioni tramite i servizi cloud e le API. Vedere come il cloud sta cambiando le responsabilità e le relazioni di sicurezza per informazioni su queste modifiche.
Questa modernizzazione dei modelli di sviluppo antiquati presenta sia un'opportunità che un requisito per modernizzare la sicurezza delle applicazioni e dei processi di sviluppo. La fusione della sicurezza nei processi DevOps viene spesso definita DevSecOps e determina le modifiche, tra cui:
- La sicurezza è integrata, non approvazione esterna: il rapido ritmo del cambiamento nello sviluppo di applicazioni rende obsoleti gli approcci classici alla "scansione e al report" nelle condizioni normali di mercato. Questi approcci legacy non riescono a rimanere al passo con le versioni senza arrestare lo sviluppo e creare ritardi time-to-market, un sottoutilizzo degli sviluppatori e una crescita del backlog dei problemi.
- Spostarsi a sinistra per attivare la sicurezza da subito nei processi di sviluppo di applicazioni, in quanto correggere i problemi da subito è più economico, veloce ed efficace. È meglio prevenire che curare.
- Integrazione nativa: le procedure di sicurezza devono essere integrate senza problemi per evitare conflitti di integrità nei flussi di lavoro di sviluppo e nei processi di integrazione continua/distribuzione continua (CI/CD). Per altre informazioni sull'approccio di GitHub, vedere Securing software, together.
- Sicurezza di alta qualità: la sicurezza deve offrire materiale sussidiario e risultati di alta qualità che consentono agli sviluppatori di risolvere rapidamente i problemi e di non sprecare tempo con falsi positivi.
- Cultura convergente: i ruoli di sicurezza, sviluppo e operazioni devono contribuire a elementi chiave in una cultura condivisa, valori condivisi, responsabilità e obiettivi condivisi.
- Sicurezza agile: modificare l'approccio alla sicurezza da "deve essere perfetto per la spedizione" a un approccio agile che inizia con la sicurezza minima funzionante per le applicazioni (e per i processi per svilupparle) che viene costantemente migliorata in modo incrementale.
- Adottare l'infrastruttura nativa del cloud e le funzionalità di sicurezza per semplificare i processi di sviluppo integrando al tempo stesso la sicurezza.
- Gestione dei rischi della supply chain: adottare un approccio Zero Trust al software open source e ai componenti di terze parti che convalidano l'integrità e garantiscono che le correzioni di bug e gli aggiornamenti siano applicati a questi componenti.
- Apprendimento continuo: il ritmo di rilascio rapido dei servizi per sviluppatori, talvolta denominati servizi PaaS, e la modifica della composizione delle applicazioni significa che i membri del team di sviluppo, di operazioni e di sicurezza apprendono costantemente nuove tecnologie.
- Approccio a livello di codice alla sicurezza delle applicazioni per garantire un miglioramento continuo dell'approccio Agile.
Per un contesto aggiuntivo, vedere Ciclo di vita di sviluppo sicuro di Microsoft.
Composizione del team e relazioni chiave
Le funzioni di sicurezza delle applicazioni e DevSecOps vengono eseguite idealmente da sviluppatori e team di operazioni in grado di riconoscere la sicurezza (con il supporto di esperti in materia di sicurezza).
Questa funzione interagisce in genere con altre funzioni ed esperti, tra cui:
- Architettura e attività operative per la sicurezza
- Sicurezza dell'infrastruttura
- Comunicazioni (training e strumenti)
- Sicurezza delle persone
- Identità e chiavi
- Team di gestione della conformità e dei rischi
- Principali responsabili aziendali o i loro rappresentanti
Passaggi successivi
Esaminare la funzione di sicurezza dei dati.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per