Esplorare la sicurezza di shift-left
L'approccio shift-left è consigliato non solo in riferimento ai test. L'idea si estende anche al campo della sicurezza. I principi di DevSecOps sono destinati a trasmettere il significato dell'incorporazione della sicurezza in ogni fase di DevOps (a partire dalla pianificazione e sviluppo), nel modo talvolta definito sicurezza continua. L'organizzazione descritta nello scenario di esempio è ben consapevole delle implicazioni di ignorare questi principi. In questa unità esamineremo il significato dell'approccio shift-left alla sicurezza e i modi consigliati per implementarlo.
Che cos'è la sicurezza di shift-left?
Nel contesto della sicurezza, shift-left si traduce nell'introdurre le attività di sicurezza il prima possibile nei processi del ciclo di vita del software. Ciò inizia con l'incorporamento della sicurezza nella progettazione del software usando la modellazione delle minacce per identificare potenziali minacce future, valutare i rischi e definire strategie di mitigazione. Il processo continua durante lo sviluppo di software implementando una serie di attività correlate alla sicurezza, ad esempio revisioni del codice e test di sicurezza automatizzati. Le revisioni del codice devono includere valutazioni incentrate sulla sicurezza, errori di sicurezza, conformità agli standard di codifica e potenziali vulnerabilità. I test di sicurezza automatizzati comportano attività quali test di sicurezza statici delle applicazioni (SAST), test di sicurezza dinamica delle applicazioni (DAST) e analisi della composizione software (SCA), integrati in pipeline di integrazione continua/distribuzione continua (CI/CD).
Il monitoraggio continuo, che fa parte della sicurezza continua, è un altro elemento adatto per l'approccio di spostamento a sinistra. L'implementazione prevede l'applicazione di meccanismi di registrazione, monitoraggio e risposta agli eventi imprevisti fin dall'inizio dello sviluppo.