Il tema della supply chain è stato messo in evidenza sia dalla pandemia sia dalla digitalizzazione che ha cominciato a correre. Sarebbe poi opportuno fare notare che gli ultimi attacchi ransomware stanno prendendo di mira sempre di più le enterprise, quasi abbandonando gli individui e le piccole realtà. Ed in questo contesto che vengono sfruttate proprio le vulnerabilità della filiera approvvigionamenti, ivi incluse le distribuzioni di software.
Il tema sta diventando così rilevante che anche Google ha recentemente rilasciato una soluzione, Supply Chain Levels for Software Artifacts, per garantire l’integrità delle distribuzioni software in modo da prevenire modifiche non autorizzate. Per maggiori dettagli potete consultare https://github.com/slsa-framework/slsa.
Diventa sempre più rilevante anche il controllo della fabbrica del software, sia nel caso di fornitori e provider, sia nello sviluppo, qualora le organizzazioni sviluppino in casa soluzioni. Molte le sigle legate a questo tema come DevOps, DevSecOps e SecDevOps.
Quando si parla DevSecOps si intende la modalità nella quale la sicurezza viene introdotta al termine delle attività di sviluppo, approccio che può presentare delle criticità e dove la parte di messa in sicurezza potrebbe diventare il collo di bottiglia. Il termine SecDevOps è invece la sigla che individua la giusta dimensione, l’inclusione di tutti gli sforzi di sicurezza e buone pratiche nella pipeline di sviluppo e nella distribuzione. Ovvero, i requisiti di sicurezza sono presi in considerazione prima dello sviluppo, garantendo che la sicurezza delle applicazioni sia inclusa in tutto il ciclo di vita. Nella teoria abbreviata in questo acronimo viene anche previsto che i gruppi di sicurezza facciano parte del ciclo di vita del software; questo per evitare che i processi di sicurezza siano solamente goffe “riverniciate” o ripensate invece che essere nativi già in fase di sviluppo del codice.
Questo modello ha però un limite, funziona solamente se tutte le persone che compongono i gruppi di sviluppo ed i manager comprendono il valore intrinseco di questo processo. Occorre fare comprendere come la sicurezza nativa nelle applicazioni e sviluppo del codice possa influire sui risultati aziendali. Come sempre non è solo un tema tecnologico, ma soprattutto di persone e responsabilità. Questo significa che sul tema SecDevOps si deve non solo focalizzarsi sull’integrazione della sicurezza nei processi ma affrontare anche le tematiche collegate come la collaborazione, la riservatezza delle informazioni e rafforzare il proprio ambiente di distribuzione lavorando ad una maggiore condivisione con una supervisione che tenga saldi questi obiettivi garantendo che le buone pratiche di sicurezza siano parte dell’intero ciclo di vita del software.