Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Sicurezza come pilastro nello sviluppo dei software: meglio le aziende neonate
Lo si ripete da tempo, ma sembra che il cambio di prospettiva stenti a prendere piede. Una ricerca fotografa la situazione, con qualche sorpresa…
A dirlo sembra facile, ma tra gli esperti l’impressione è che l’idea per cui la sicurezza dovrebbe essere un aspetto tenuto in considerazione come prioritario già nella fase di sviluppo dei software stenti ancora a sfondare.
È davvero così? Un tentativo di tastare il polso degli addetti ai lavori è la ricerca di CA Technologies, il cui titolo chiarisce fin dall’inizio il focus: Integrating Security Into the DNA of Your Software Lifecycle.
Lo studio, che ha coinvolto 1.200 responsabili IT (di cui 466 in Europa) cerca di tratteggiare il panorama sul tema della sicurezza nello sviluppo del software.
“Il tema centrale della ricerca è quello di verificare come sia percepito il DevSecOps, cioè l’integrazione dell’aspetto della sicurezza all’interno del ciclo di vita del software a partire già dalle fasi embrionali dello sviluppo” spiega Domenico Maracci, Technical Sales Consultant and Solution Architect di CA Technologies.
Una questione che è stata sottoposta a chi si occupa direttamente di sviluppo e gestione dei software e che, a partire dalla (scontata) considerazione riguardo la necessità di investire nella sicurezza in tutte le fasi di sviluppo e aggiornamento, affronta anche il tema dei principali ostacoli all’implementazione di questa logica e quello di alcuni elementi strutturali legati alle aziende che nel mondo oggi si occupano di sviluppo del software.
Almeno a parole, tutti gli intervistati si dichiarano assolutamente consapevoli della necessità di una maggiore integrazione della sicurezza nelle fasi di sviluppo del software.
Non stupisce che il problema sia sentito e che la stragrande maggioranza degli intervistati abbia confermato che il tema della sicurezza dovrebbe avere un’importanza di primo piano nello sviluppo del software, sia che si tratti di applicativi, sia che si tratti di driver o firmware associato a dispositivi (e il pensiero va all’IoT) che verranno poi installati all’interno delle strutture aziendali.
Il livello di consapevolezza, insomma, sembra buono e corroborato da alcuni elementi che “aiutano” in questo senso. “Il primo è la coscienza del fatto che la sicurezza influisce sulla reputazione dell’azienda e, di conseguenza, diventa uno dei fattori attraverso i quali gli utenti giudicano la bontà di un software” spiega Maracci.
La seconda, manco a dirlo, è legata al nuovo regolamento europeo GDPR, che fissa obblighi precisi e (soprattutto) sanzioni per chi on si adegua alle prescrizioni.
Di fronte a questa diffusa convinzione, però, si registra una realtà piuttosto diversa. Quando nella ricerca si va a chiedere quale sia il livello di implementazione, infatti, ci si trova a un panorama piuttosto diverso.
Pochi hanno già fatto il necessario, molti sostengono di trovarsi “in corso d’opera” o di avere pianificato azioni per garantire la sicurezza nel ciclo di vita del software.
Più interessante, però, è la valutazione di ciò che viene considerato come un ostacolo all’applicazione di queste “buone pratiche”.
“Uno degli elementi che influisce pesantemente, stando a quanto dicono gli intervistati, è la pressione legata ai tempi del mercato” conferma Maracci. Insomma: spesso l’analisi del livello di sicurezza e l’introduzione di un workflow che lo preveda come parte integrante del processo di sviluppo comporta ritardi incompatibili con le richieste commerciali.
Più o meno allo stesso livello si pone il tema della struttura aziendale. “Molte aziende hanno definito la loro struttura senza tenere conto del fatto che gli esperti di sicurezza devono essere inclusi nel processo” prosegue Domenico Maracci. “Modificare una struttura già rodata si trasforma quindi in un ostacolo non indifferente”.
Un fattore che viene confermato quando si guarda all’identificazione di quelli che nella ricerca vengono definiti Security Master, cioè quelle aziende software che hanno implementato con successo la filosofia DevSecOps.
Proporzione di Security Master a livello geografico.
Guardando alla tabella che riassume la loro collocazione a livello geografico, ci si accorge che la migliore integrazione del tema sicurezza risulta nei paesi che hanno una tradizione più breve nel settore. In pratica, in tutti i paesi in cui il software è diventato solo di recente un settore trainante.
Al di là degli USA, che a causa del loro ruolo trainante nel settore rappresentano un’anomalia, tra i primi ci sono nazioni piuttosto “giovani”. E qui si scopre anche che sotto questo particolare punto di vista l’Italia si colloca a un sorprendente quarto posto dopo India, Cina e Stati Uniti. Per una volta, quindi, il classico “ritardo all’italiana” rischia di trasformarsi in un vantaggio.
Il motivo? Una possibile spiegazione riguarda l’utilizzo del machine learning. “Le tecniche di machine learning permettono di integrare la sicurezza nel processo di sviluppo senza impattare molto sui tempi di lavoro” conferma Maracci. “Chi ha cominciato utilizzando da subito queste tecnologie è un passo avanti”.
Condividi l'articolo
- CA Technologies, DevSecOps, Italia, machine learning, Marco Schiaffino, sicurezza, software, sviluppo
Vulnerabilità in LTE: si possono intercettare e falsificare i messaggi
Un virus fa strage dei registratori di cassa nella catena Tim Hortsons
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
