DevSecOps applicato ad Azure DevOps
In un articolo precedente, abbiamo già avuto modo di vedere alcuni degli aspetti legati alla security che più impattano gli sviluppatori. In quel caso specifico si è indagato sugli strumenti che offre Synopsis per fare analisi statica del codice ed evidenziare problemi di sicurezza applicativa: questi problemi potevano essere, infatti, difficilmente individuati dagli sviluppatori (immaginiamo il classico "edge-case"), piuttosto che semplici distrazioni (credenziali lasciate per sbaglio nel source control) o, ancora, vulnerabilità "esterne" dovute, ad esempio, a dipendenze (come pacchetti di npm o NuGet) soggetti ad altrettanti problemi di sicurezza noti tramite CVE.
In questo articolo, invece, vogliamo prendere il contesto security da un'altra angolazione e, di fatto, vogliamo introdurre tutti i concetti legati a Secure DevOps, altresì chiamato anche DevSecOps.
La security è un argomento molto vasto e anche molto complesso: nelle aziende, solitamente, ci sono persone dedicate alla security e a temi specifici di sicurezza, come quella infrastrutturale, quella applicativa, quella architetturale e così via. Esattamente come successo già tra sviluppatori e sistemisti, in cui i ruoli si sono fusi in quelli del DevOps Engineer, e considerando anche l'importanza che assume la sicurezza, anche in questo caso si vuole convogliare le best-practice a tutti, in modo tale che chiunque in azienda abbia le basi e gli strumenti giusti per identificare vulnerabilità nei sistemi. Si fa quindi quello che è chiamato "shift-left" in security, ovvero si cerca di individuare i problemi quanto prima e questo lo si può fare solo se si ha già applicato determinati processi di DevOps.
Quelle che introdurremo in questo articolo sono alcune delle tematiche più importanti individuate da esperti e consigliate da Microsoft stessa per trarre il meglio e per imparare a gestire situazioni critiche. Per ovvi motivi, non tutto sarà applicabile a tutti i contesti, ma vedremo caso per caso.
Microsoft ha istituito un sito dedicato per trattare questi argomenti multidisciplinari e li ha raggruppati in:
- Training: è necessario assicurarsi che tutti i membri del team siano in grado di identificare possibili vulnerabilità prima della scrittura del codice (indipendentemente dal fatto che sia applicativo, infrastrutturale o altro), gestire eventuali vulnerabilità note e fare escalation dei problemi più rilevanti e potenzialmente dannosi. Senza un adeguato training, non sarà possibile porre i rimedi richiesti e sarà come non aver applicato nessuna delle best-practice di security;
- Definizione dei requisiti: esattamente come per le pratiche DevOps, è necessario individuare l'obiettivo che si vuole raggiungere con l'integrazione della security. Non si parla solamente di rendere più sicure le applicazioni, ma di come farlo, di individuare gli strumenti e i processi giusti;
- Metriche, compliance e reportistica: anche se abbiamo individuato i processi e gli strumenti, non possiamo dire che il nostro sistema è sicuro se non abbiamo mezzi con cui paragonare il pregresso con l'esistente;
- SCA e governance: avere un buon sistema di composition analysis e strumenti di governance aiutano tutto il team, compreso il management, ad avere una overview completa di cosa succede nei prodotti che stiamo costruendo e vendendo e a costruire una roadmap per migliorare via via la sicurezza;
- Threat modeling: non è fondamentale applicare sistemi di machine learning (ML) per identificare problemi di sicurezza, ma è sufficiente affidarsi a sistemi collaudati e offerti da vendor affermati nel settore per avere strumenti che ci aiutino ad identificare meglio le possibili vulnerabilità e il rischo di sicurezza a cui siamo esposti;
- Strumenti, processi e automazioni: è impensabile credere di migliorare la sicurezza, senza applicare controlli rigorosi ogni volta che viene effettuata una change nel prodotto, quindi è fondamentale inserire sin da subito gli strumenti adeguati nei processi che sono stati costruiti nel tempo grazie alle practice DevOps, alla pipeline di continuous integration e continuous deployment e così via;
- Gestione delle credenziali: la sicurezza applicativa e soprattutto quella infrastrutturale spesso dipende da come gestiamo secret, codici o altre chiavi che, se non salvate accuratamente ed esposte al "pubblico", potrebbero causare gravi danni, anche involontariamente;
- Continuous Learning e monitoring: le applicazioni e i sistemi non diventano sicuri per magia e non lo rimangono per sempre, purtroppo. Infatti, sono moltissime le falle di sicurezza che vengono trovate anche in software datato e non più aggiornato, ma lo stesso vale per ogni change che viene applicata perché queste possono contenere nuove vulnerabilità e quindi vanno verificate. Inoltre, è bene imparare dai propri errori e migliorare ogni singola volta una parte del processo se questo è fallito in passato o ci ha esposto a rischi.
Alcuni di questi temi li abbiamo già affrontati, altri li affronteremo in qualche articolo dedicato, mentre tematiche come compliance e governance vanno oltre quello che può essere espresso in un "semplice" articolo introduttivo all'argomento e, pertanto, richiedono training specifico. Prima di addentrarci nelle tematiche tecniche, cerchiamo di imparare come funziona lo strumento che usiamo tutti i giorni per "fare DevOps", ovvero Azure DevOps.
Contenuti dell'articolo
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Recuperare l'ultima versione di una release di GitHub
Utilizzare il trigger SQL con le Azure Function
Eseguire una query su SQL Azure tramite un workflow di GitHub
Sfruttare i KeyedService in un'applicazione Blazor in .NET 8
Usare lo spread operator con i collection initializer in C#
.NET Conference Italia 2024
Applicare un filtro per recuperare alcune issue di GitHub
Garantire la provenienza e l'integrità degli artefatti prodotti su GitHub
Definire stili a livello di libreria in Angular
Utilizzare Azure AI Studio per testare i modelli AI
Eseguire i worklow di GitHub su runner potenziati
Filtering sulle colonne in una QuickGrid di Blazor
Top Ten Articoli
- Realizzare una Progressive Web Application con Blazor e ASP.NET Core
di Giampaolo Tucci - Gestire le chiamate a servizi esterni in ASP.NET Core e Blazor tramite Polly
di Morgan Pizzini - Usare gRPC come infrastruttura per i nostri servizi web
di Morgan Pizzini - Abilitare e gestire il prerendering nelle applicazioni Blazor WebAssembly
di Marco De Sanctis - Creare API GraphQL con ASP.NET Core e HotChocolate
di Moreno Gentili - Le novità di Blazor in .NET 6.0
di Morgan Pizzini - Blazor e il pattern Model-View-ViewModel
di Giampaolo Tucci - Le novità in ASP.NET Core e Blazor con .NET 7
di Morgan Pizzini - Introduzione a Blazor WebAssembly
di Marco De Sanctis, Moreno Gentili - Le novità di ASP.NET Core 5
di Marco De Sanctis
Articoli via e-mail
Iscriviti alla nostra newsletter nuoviarticoli per ricevere via e-mail le notifiche!
In primo piano
I più letti di oggi
- Effettuare il log delle chiamate a function di GPT in ASP.NET Web API
- ecco tutte le novità pubblicate sui nostri siti questa settimana: https://aspit.co/wkly buon week-end!
- Utilizzare il metodo CountBy di LINQ per semplificare raggruppamenti e i conteggi
- Creare una libreria CSS universale: Cards
- Eseguire script pre e post esecuzione di un workflow di GitHub
In evidenza
- Il meglio della settimana
- Utilizzare il metodo CountBy di LINQ per semplificare raggruppamenti e i conteggi
- Eseguire script pre e post esecuzione di un workflow di GitHub
- Creare una libreria CSS universale: Cards
- Migliorare l'organizzazione delle risorse con Azure Policy
- Effettuare il log delle chiamate a function di GPT in ASP.NET Web API
- Leggere la posta usando il protocollo IMAP tramite la libreria MailKit
- Eseguire una ricerca avanzata per recuperare le issue di GitHub