Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Mar 06, 2018 Marco Schiaffino Approfondimenti, Mercato, Scenario 0
A dirlo sembra facile, ma tra gli esperti l’impressione è che l’idea per cui la sicurezza dovrebbe essere un aspetto tenuto in considerazione come prioritario già nella fase di sviluppo dei software stenti ancora a sfondare.
È davvero così? Un tentativo di tastare il polso degli addetti ai lavori è la ricerca di CA Technologies, il cui titolo chiarisce fin dall’inizio il focus: Integrating Security Into the DNA of Your Software Lifecycle.
Lo studio, che ha coinvolto 1.200 responsabili IT (di cui 466 in Europa) cerca di tratteggiare il panorama sul tema della sicurezza nello sviluppo del software.
“Il tema centrale della ricerca è quello di verificare come sia percepito il DevSecOps, cioè l’integrazione dell’aspetto della sicurezza all’interno del ciclo di vita del software a partire già dalle fasi embrionali dello sviluppo” spiega Domenico Maracci, Technical Sales Consultant and Solution Architect di CA Technologies.
Una questione che è stata sottoposta a chi si occupa direttamente di sviluppo e gestione dei software e che, a partire dalla (scontata) considerazione riguardo la necessità di investire nella sicurezza in tutte le fasi di sviluppo e aggiornamento, affronta anche il tema dei principali ostacoli all’implementazione di questa logica e quello di alcuni elementi strutturali legati alle aziende che nel mondo oggi si occupano di sviluppo del software.
Non stupisce che il problema sia sentito e che la stragrande maggioranza degli intervistati abbia confermato che il tema della sicurezza dovrebbe avere un’importanza di primo piano nello sviluppo del software, sia che si tratti di applicativi, sia che si tratti di driver o firmware associato a dispositivi (e il pensiero va all’IoT) che verranno poi installati all’interno delle strutture aziendali.
Il livello di consapevolezza, insomma, sembra buono e corroborato da alcuni elementi che “aiutano” in questo senso. “Il primo è la coscienza del fatto che la sicurezza influisce sulla reputazione dell’azienda e, di conseguenza, diventa uno dei fattori attraverso i quali gli utenti giudicano la bontà di un software” spiega Maracci.
La seconda, manco a dirlo, è legata al nuovo regolamento europeo GDPR, che fissa obblighi precisi e (soprattutto) sanzioni per chi on si adegua alle prescrizioni.
Di fronte a questa diffusa convinzione, però, si registra una realtà piuttosto diversa. Quando nella ricerca si va a chiedere quale sia il livello di implementazione, infatti, ci si trova a un panorama piuttosto diverso.
Più interessante, però, è la valutazione di ciò che viene considerato come un ostacolo all’applicazione di queste “buone pratiche”.
“Uno degli elementi che influisce pesantemente, stando a quanto dicono gli intervistati, è la pressione legata ai tempi del mercato” conferma Maracci. Insomma: spesso l’analisi del livello di sicurezza e l’introduzione di un workflow che lo preveda come parte integrante del processo di sviluppo comporta ritardi incompatibili con le richieste commerciali.
Più o meno allo stesso livello si pone il tema della struttura aziendale. “Molte aziende hanno definito la loro struttura senza tenere conto del fatto che gli esperti di sicurezza devono essere inclusi nel processo” prosegue Domenico Maracci. “Modificare una struttura già rodata si trasforma quindi in un ostacolo non indifferente”.
Un fattore che viene confermato quando si guarda all’identificazione di quelli che nella ricerca vengono definiti Security Master, cioè quelle aziende software che hanno implementato con successo la filosofia DevSecOps.
Guardando alla tabella che riassume la loro collocazione a livello geografico, ci si accorge che la migliore integrazione del tema sicurezza risulta nei paesi che hanno una tradizione più breve nel settore. In pratica, in tutti i paesi in cui il software è diventato solo di recente un settore trainante.
Al di là degli USA, che a causa del loro ruolo trainante nel settore rappresentano un’anomalia, tra i primi ci sono nazioni piuttosto “giovani”. E qui si scopre anche che sotto questo particolare punto di vista l’Italia si colloca a un sorprendente quarto posto dopo India, Cina e Stati Uniti. Per una volta, quindi, il classico “ritardo all’italiana” rischia di trasformarsi in un vantaggio.
Il motivo? Una possibile spiegazione riguarda l’utilizzo del machine learning. “Le tecniche di machine learning permettono di integrare la sicurezza nel processo di sviluppo senza impattare molto sui tempi di lavoro” conferma Maracci. “Chi ha cominciato utilizzando da subito queste tecnologie è un passo avanti”.
Lug 18, 2024 0
Giu 28, 2024 0
Feb 27, 2024 0
Feb 15, 2024 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 13, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...