Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
Sicurezza come pilastro nello sviluppo dei software: meglio le aziende neonate
Lo si ripete da tempo, ma sembra che il cambio di prospettiva stenti a prendere piede. Una ricerca fotografa la situazione, con qualche sorpresa…
A dirlo sembra facile, ma tra gli esperti l’impressione è che l’idea per cui la sicurezza dovrebbe essere un aspetto tenuto in considerazione come prioritario già nella fase di sviluppo dei software stenti ancora a sfondare.
È davvero così? Un tentativo di tastare il polso degli addetti ai lavori è la ricerca di CA Technologies, il cui titolo chiarisce fin dall’inizio il focus: Integrating Security Into the DNA of Your Software Lifecycle.
Lo studio, che ha coinvolto 1.200 responsabili IT (di cui 466 in Europa) cerca di tratteggiare il panorama sul tema della sicurezza nello sviluppo del software.
“Il tema centrale della ricerca è quello di verificare come sia percepito il DevSecOps, cioè l’integrazione dell’aspetto della sicurezza all’interno del ciclo di vita del software a partire già dalle fasi embrionali dello sviluppo” spiega Domenico Maracci, Technical Sales Consultant and Solution Architect di CA Technologies.
Una questione che è stata sottoposta a chi si occupa direttamente di sviluppo e gestione dei software e che, a partire dalla (scontata) considerazione riguardo la necessità di investire nella sicurezza in tutte le fasi di sviluppo e aggiornamento, affronta anche il tema dei principali ostacoli all’implementazione di questa logica e quello di alcuni elementi strutturali legati alle aziende che nel mondo oggi si occupano di sviluppo del software.
Almeno a parole, tutti gli intervistati si dichiarano assolutamente consapevoli della necessità di una maggiore integrazione della sicurezza nelle fasi di sviluppo del software.
Non stupisce che il problema sia sentito e che la stragrande maggioranza degli intervistati abbia confermato che il tema della sicurezza dovrebbe avere un’importanza di primo piano nello sviluppo del software, sia che si tratti di applicativi, sia che si tratti di driver o firmware associato a dispositivi (e il pensiero va all’IoT) che verranno poi installati all’interno delle strutture aziendali.
Il livello di consapevolezza, insomma, sembra buono e corroborato da alcuni elementi che “aiutano” in questo senso. “Il primo è la coscienza del fatto che la sicurezza influisce sulla reputazione dell’azienda e, di conseguenza, diventa uno dei fattori attraverso i quali gli utenti giudicano la bontà di un software” spiega Maracci.
La seconda, manco a dirlo, è legata al nuovo regolamento europeo GDPR, che fissa obblighi precisi e (soprattutto) sanzioni per chi on si adegua alle prescrizioni.
Di fronte a questa diffusa convinzione, però, si registra una realtà piuttosto diversa. Quando nella ricerca si va a chiedere quale sia il livello di implementazione, infatti, ci si trova a un panorama piuttosto diverso.
Pochi hanno già fatto il necessario, molti sostengono di trovarsi “in corso d’opera” o di avere pianificato azioni per garantire la sicurezza nel ciclo di vita del software.
Più interessante, però, è la valutazione di ciò che viene considerato come un ostacolo all’applicazione di queste “buone pratiche”.
“Uno degli elementi che influisce pesantemente, stando a quanto dicono gli intervistati, è la pressione legata ai tempi del mercato” conferma Maracci. Insomma: spesso l’analisi del livello di sicurezza e l’introduzione di un workflow che lo preveda come parte integrante del processo di sviluppo comporta ritardi incompatibili con le richieste commerciali.
Più o meno allo stesso livello si pone il tema della struttura aziendale. “Molte aziende hanno definito la loro struttura senza tenere conto del fatto che gli esperti di sicurezza devono essere inclusi nel processo” prosegue Domenico Maracci. “Modificare una struttura già rodata si trasforma quindi in un ostacolo non indifferente”.
Un fattore che viene confermato quando si guarda all’identificazione di quelli che nella ricerca vengono definiti Security Master, cioè quelle aziende software che hanno implementato con successo la filosofia DevSecOps.
Proporzione di Security Master a livello geografico.
Guardando alla tabella che riassume la loro collocazione a livello geografico, ci si accorge che la migliore integrazione del tema sicurezza risulta nei paesi che hanno una tradizione più breve nel settore. In pratica, in tutti i paesi in cui il software è diventato solo di recente un settore trainante.
Al di là degli USA, che a causa del loro ruolo trainante nel settore rappresentano un’anomalia, tra i primi ci sono nazioni piuttosto “giovani”. E qui si scopre anche che sotto questo particolare punto di vista l’Italia si colloca a un sorprendente quarto posto dopo India, Cina e Stati Uniti. Per una volta, quindi, il classico “ritardo all’italiana” rischia di trasformarsi in un vantaggio.
Il motivo? Una possibile spiegazione riguarda l’utilizzo del machine learning. “Le tecniche di machine learning permettono di integrare la sicurezza nel processo di sviluppo senza impattare molto sui tempi di lavoro” conferma Maracci. “Chi ha cominciato utilizzando da subito queste tecnologie è un passo avanti”.
Condividi l'articolo
- CA Technologies, DevSecOps, Italia, machine learning, Marco Schiaffino, sicurezza, software, sviluppo
Vulnerabilità in LTE: si possono intercettare e falsificare i messaggi
Un virus fa strage dei registratori di cassa nella catena Tim Hortsons
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
