L'APPROCCIO CORRETTO

Sviluppo sicuro del software, tra automatismo e shift left dei controlli: linee guida

Il deciso cambio di passo nei rilasci software sospinti dal time to market esasperato si ripercuote inevitabilmente nel modo di fare sicurezza sia dal punto di vista tecnologico che organizzativo. Ecco le linee guida per garantire uno sviluppo sicuro del software compatibile con la metodologia agile

Pubblicato il 12 Dic 2019

Cristian Fornaciari

Security architect

Sviluppo sicuro del software linee guida

Il rispetto dei requisiti funzionali per lo sviluppo sicuro del software è garantito anche dall’applicazione del principio della security by design, ormai ampiamente diffuso anche nella community degli sviluppatori.

In questo contesto, però, occorre osservare che il deciso cambio di passo nei rilasci software sospinti dal time to market esasperato e dalle mutevoli esigenze di mercato stanno progressivamente sostituendo gli ingombranti progetti con orizzonti temporali pluriennali in modalità waterfall con progetti in modalità agile, caratterizzati da cicli di sviluppo brevi e continuativi che partono con l’obiettivo di un prodotto con le caratteristiche essenziali e di valore per l’utente finale (il “minimum viable project”) per poi arricchirlo progressivamente con iterazioni di sviluppo successive o abbandonarlo laddove non si dimostrasse remunerativo.

Tale approccio, che si adatta perfettamente alle attuali esigenze del mondo IT, si ripercuote inevitabilmente nel modo di fare sicurezza sia dal punto di vista tecnologico che organizzativo.

Sviluppo sicuro del software: identificazione delle vulnerabilità

La tecnologia nell’ambito della sicurezza software si sta orientando verso strumenti di analisi automatica per consentire di eseguire scansioni di vulnerabilità in modo sistematico e veloce: ad ogni rilascio deve seguire un’analisi statica del codice, un’identificazione delle vulnerabilità e una loro prioritizzazione.

Queste attività devono seguire i tempi di risposta dello sviluppo software: i rilasci possono avere cadenze mensili, settimanali o addirittura inferiori (dell’ordine di decine di secondi nel caso di Amazon) e devono farlo con una precisione che non comprometta la soglia di rischio che rimane sempre il riferimento per le scelte in ambito sicurezza.

Detto quindi che è fondamentale che tutte le aziende siano dotate di questi strumenti, è altrettanto importante che siano inseriti all’interno dei processi aziendali e che siano utilizzati in modo sistematico per ogni rilascio: devono essere dei security gate che impediscano la promote di codice affetto da vulnerabilità ritenute non accettabili.

Ovviamente il superamento di analisi statica del codice non garantisce di per sé che il codice sia sicuro (anche perché non tiene conto del suo comportamento all’interno dell’ecosistema, cosa che è più specifica dell’analisi dinamica), ma permette un’analisi completa del codice (coverage) e la mancanza, molto pericolosa, di validazioni degli input (sanitization).

Sviluppo sicuro del software e analisi di sicurezza

Nonostante gli indubbi benefici, le analisi di sicurezza vengono viste come un impedimento al raggiungimento degli obiettivi IT che sono tipicamente sinonimo di quantità di software rilasciato, prima ancora che di qualità.

Dotarsi di strumenti che riducono falsi positivi, che facilitano l’interpretazione dei risultati e che aiutino l’individuazione delle remediation non solo migliorano l’output ma favoriscono un atteggiamento favorevole al suo utilizzo.

Le caratteristiche essenziali per questi tool di analisi statica del codice (SAST) sono:

  • la possibilità di essere completamente automatizzabili e quindi inseribili all’interno di pipeline di sviluppo;
  • capacità di analizzare tutte le dipendenze del codice in esame visto l’uso estensivo di librerie open source;
  • essere integrabile con la maggior parte degli IDE in modo da portare i test di sicurezza il più possibile “a sinistra”, all’inizio delle fasi di sviluppo se non addirittura durante la scrittura dello stesso.

Quest’ultimo punto è un elemento molto importante perché consente di individuare bug di sicurezza fin dalle prime fasi dello sviluppo riducendone al minimo il costo di remediation (com’è noto un bug in produzione è stimato avere un costo medio anche mille volte superiore rispetto allo sviluppo).

È dunque evidente il miglioramento in termini di efficienza ed è la ragione per la quale tutti i software di analisi statica di livello Enterprise si stanno orientando proprio in questa direzione.

In sintesi, quindi, i punti di attenzione per i tool di analisi statica includono:

  • la predisposizione all’automazione per ridurre i tempi di risposta e l’effort di gestione dei bug;
  • la possibilità di scan delle dipendenze per offrire una copertura software completa;
  • l’integrabilità con framework di sviluppo (IDE) per offrire controlli già dalle prime fasi individuando in anticipo i bug di sicurezza minimizzando drasticamente i tempi di fixing.

Diffondere la cultura della sicurezza

Un altro effetto significativo dello spostamento dei controlli di sicurezza verso le fasi inziali di sviluppo del codice è quello di distribuire sugli sviluppatori una maggiore cultura della sicurezza, portandoli ad analizzare e correggere i bug di sicurezza anziché rimandarli ad uffici di sicurezza in fasi successive come avviene frequentemente nei modelli sviluppo software più tradizionali.

Diffondere controlli più vicino allo sviluppatore ha il doppio effetto benefico, quindi, di ridurre i tempi di rimedio dei bug e di diffondere una maggiore cultura della sicurezza.

Quanto detto, poi, si amplifica per tutte quelle aziende con una leva verso fornitori molto accentuata perché in questo caso i temi di rimedio devono tenere conto di una comunicazione tipicamente più lenta e subordinata a clausole contrattuali.

Da questo punto di vista esistono strumenti che consentono di applicare gli stessi controlli di sicurezza del codice agli sviluppatori interni ed esterni. Tecnicamente, infatti, è possibile fare in modo che gli IDE di sviluppo di fornitori esterni applichino le stesse regole valide per gli sviluppatori interni all’azienda uniformando il livello di sicurezza, identici controlli per tutti, indipendentemente da chi lo ha sviluppato:

  • personale interno;
  • personale conosciuto di società terze;
  • personale che opera dall’altra parte del mondo con conoscenza e stile di scrittura del codice anche molto diverso.

Il punto chiave per un’iniziativa di questo tipo però non è tanto quello di trovare uno strumento di analisi statica che implementi questi controlli (questo tecnicismo è ormai prerogativa della maggior parte dei tool di questa categoria), quanto piuttosto “obbligare” i fornitori a consegnare il solo codice che abbia rispettato i controlli suddetti a garanzia della qualità del codice.

Non è infatti scontato che il fornitore accetti di buon grado di applicare controlli stabiliti da un cliente sul codice scritto da loro, soprattutto se poi intervengono altre clausole sui tempi di consegna.

Ad oggi molto spesso la qualità del codice è gestita secondo generiche clausole contrattuali che non si traducono nei fatti in obblighi specifici e quindi poco applicabili verso terze parti: del resto i controlli devono essere il più possibile oggettivi e misurabili.

Sviluppo sicuro del software e metodologia agile

Nella maggior parte dei casi la metodologia agile si realizza tramite il devops, di dui l’agile è un fattore abilitante.

Nel concreto, questo significa un radicale cambiamento nell’organizzazione del lavoro e quasi sempre nella creazione di pipeline di sviluppo in cui lo sviluppo del codice passa attraverso una “catena di montaggio” composta da repository, builder, tool di analisi di qualità, di sicurezza e deployer, tutti generalmente diretti da un tool di orchestrazione.

Oltre ad inserire l’analisi statica, è indispensabile anche che tutta la catena di sviluppo sia sicura gestendo in modo corretto gli accessi e applicando configurazioni di integrità del software. Creare utenze profilate nel modo corretto e avvalersi di controlli di integrità tramite la firma del codice diventano strumenti mandatori in questo tipo di implementazioni.

La tendenza generale della sicurezza applicata allo sviluppo software si sta orientando verso un sempre maggiore automatismo e verso uno “slittamento a sinistra” dei controlli per anticipare bug e vulnerabilità e ad un’applicazione degli stessi a SDLC di tipo agile.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati