WisdomTree
thematics-4.jpg

Sicurezza anticipata: la sicurezza è una componente di tutte le fasi dello sviluppo del

Pubblicato il 18 marzo 2021

Team8
Team8

Global venture group

Lo sviluppo e la gestione del software sono più agili e veloci che mai. La sicurezza non può essere garantita a posteriori, ma deve essere affidata anticipatamente agli sviluppatori, tenendo conto fin dall’inizio delle considerazioni sulla sicurezza in un modello DevSecOps.

Fattori trainanti


Spesso i tempi di commercializzazione hanno la priorità sulla sicurezza: gli sviluppatori si valutano in base alla velocità con cui possono creare codice, anziché sulla sicurezza di quest’ultimo, e i leader aziendali in base alla rapidità con cui riescono a immettere sul mercato nuovi prodotti e servizi. In mancanza di tempo per rimediare alle vulnerabilità del codice, si provvede alla sicurezza come se si trattasse di un extra, dopo aver completato lo sviluppo dell’applicazione: un approccio rischioso. Di conseguenza, il 42% delle aziende che hanno subito un attacco esterno attribuisce l’incidente a una falla di sicurezza del software e il 35% lo attribuisce a un’applicazione web difettosa.1 Nell’ambiente dinamico attuale delle micro-release e degli aggiornamenti quotidiani o settimanali del software, gli sviluppatori devono mantenere una mentalità orientata alla sicurezza e affidarsi ai controlli lungo tutta la durata del processo di codifica per non farsi sorprendere da eventuali problemi in materia di sicurezza. Ciò nonostante, la migrazione verso un paradigma di sicurezza affidato agli sviluppatori si è rivelata lenta: secondo Google, solo il 20% delle aziende è considerato “all’avanguardia” per quanto riguarda il DevOps.2 La “sicurezza anticipata” evidenzia l'esigenza per i team addetti alla sicurezza di collaborare con gli sviluppatori fin dall’inizio del ciclo di programmazione al fine di integrare la sicurezza delle informazioni e la relativa automazione. Idealmente, gli sviluppatori hanno il compito di provvedere durante la creazione di un prodotto o un servizio alla sua sicurezza, con strumenti che non rendono solo il codice più sicuro, ma codificano anche l’intento.

Impatto - Prima si gioca d’anticipo, più la sicurezza viene integrata profondamente nel processo di sviluppo delle applicazioni. Per conseguire questo obiettivo, i professionisti della sicurezza devono perfezionare le loro competenze in materia di programmazione e gli sviluppatori devono essere in grado di creare codice senza perdere di vista la sicurezza.

Soluzioni - Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST), Interactive Application Security Testing (IAST), Software Composition Analysis (SCA), ciclo di sviluppo sicuro, formazione in materia di sicurezza per sviluppatori, sicurezza dei container.

Prospettive:

  • La prospettiva dell'anti-hacker - “La rapidità degli sviluppatori è un modo per misurare la velocità degli affari. Gli sviluppatori aggiungono continuamente funzionalità alle applicazioni e, se le aziende vogliono restare competitive, la sicurezza al giorno d’oggi deve muoversi alla velocità degli affari.” - Stephen Garcia, vicepresidente dell’area Cybersecurity, FanDuel

  • La prospettiva di un hacker secondo Team8 - “La sicurezza anticipata crea vari problemi per un hacker. Man mano che il software diventa più solido, si riduce la possibilità che siano presenti vulnerabilità informatiche. Tuttavia, anche hacker sofisticati possono giocare d’anticipo inserendo codici “maligni” o backdoor, nelle prime fasi del ciclo di sviluppo prima o dopo che il codice sorgente sia stato compilato: ne è un esempio l’attacco al sistema di programmazione di Solar Winds. Invece di aspettare o scovare una vulnerabilità, gli hacker hanno modificato il sistema proprio come farebbe un programmatore e hanno creato loro stessi una vulnerabilità.”

Nel nostro prossimo articolo ci occuperemo della sicurezza intelligente.

Blog correlati

+ Un’introduzione alla sicurezza informatica, il megatrend del decennio in corso

+ La sicurezza dei servizi cloud: una componente necessaria nella pianificazione della transizione digitale

+ La sicurezza degli oggetti: una gestione adeguata del boom di dispositivi connessi

+ Un mondo senza confini: le reti sono sempre meno legate ai luoghi fisici

+ Privacy e fiducia digitale: il decennio scorso è stato l’epoca della raccolta dei dati, il decennio in corso sarà quello della loro protezione

1 https://www.forrester.com/report/The+State+Of+Application+Security+2020/-/E-RES159057

2 https://services.google.com/fh/files/misc/state-of-devops-2019.pdf

Informazioni sull’autore

Team8
Team8

Global venture group

Team8 è un venture group internazionale che crea e investe in aziende che si occupano di cyber security, dati, intelligenza artificiale e fintech. Grazie all’enorme contributo di un team interno multi-disciplinare, integrato con una community dedicata di dirigenti senior e leader di pensiero, il modello di Team8 è ideato per individuare i grandi problemi, ideare soluzioni, accelerare il successo e influenzare tramite l’innovazione tecnologica. Il team di leader di Team8 include svariati imprenditori, pionieri del settore e l’ex dirigenza dell’Unità 8200, un reparto d’élite dell’intelligence israeliana specializzato nella guerra cibernetica.

Best Workspaces - GPTW UK 2024
Best Workspaces for Development - GPTW UK 2024
Best Workspaces for Women - GPTW UK 2024
Best Workspaces in Financial Services & Insurance - GPTW UK 2024
Informazioni importanti sui rischi

Giurisdizioni nello Spazio economico europeo ("SEE"): questo sito Web e il suo contenuto sono stati forniti da WisdomTree Ireland Limited, che è autorizzata e regolamentata dalla Central Bank of Ireland.

Giurisdizioni al di fuori della SEE: questo sito Web e il suo contenuto sono stati forniti da WisdomTree UK Limited, che è autorizzata e regolamentata dalla Financial Conduct Authority del Regno Unito.

Il prezzo di qualsiasi azione o il valore di un investimento in ETP potrebbe fluttuare verso l'alto o verso il basso e un investitore potrebbe non recuperare la somma investita. Le precedenti performance non sono indicatori affidabili di quelle future.

Questo materiale non deve essere inteso come una previsione, una ricerca o una consulenza in materia di investimento e non è un consiglio, né un'offerta o un invito ad acquistare o a vendere prodotti o strumenti finanziari o ad adottare qualsiasi strategia di investimento.

Fare clic qui per leggere l'Esclusione di responsabilità completa.

© 2026 WisdomTree, Inc. All Rights Reserved