Il code review è considerato un aspetto fondamentale dell’approccio alla sicurezza di un applicativo: la verifica del codice sorgente garantisce minori vulnerabilità e un software più sicuro. Eppure, si tratta di un processo che viene anche visto come lento e spesso disorganizzato, che rallenta il ciclo di sviluppo del software e di fatto blocca il lavoro di molte persone mentre la review viene condotta.
Ci si ritrova quindi in una situazione in cui si riconosce che il code review sia fondamentale per incrementare la sicurezza del software, ma viene anche sottolineato che il sistema è fallace: si lavora sulla sicurezza a posteriori anziché fare una valutazione intrecciata allo sviluppo e alla pianificazione. Inoltre, in un momento in cui ci si aspetta che applicativi sicuri vengano lanciati il prima possibile, il sistema di code review è sempre meno sostenibile.
Perciò, le organizzazioni che abbracciano l’approccio DevSecOps guadagnano un vantaggio competitivo: quando la sicurezza entra a far parte del ciclo di sviluppo fin dal primo momento e tutti i team coinvolti sono allineati sugli aspetti da considerare, l’azienda guadagna in qualità, sicurezza e costi.
Code review: perché non basta più
Il processo di code review, per altro, non è standardizzato e spesso è inefficiente. Ciò accade perché il code review viene considerato un aspetto importante, ma anche forzato. Perciò, alcune organizzazioni includono la valutazione di ulteriori elementi, come i ticket o i pull; in altri casi i dipendenti non sono al corrente delle policy previste per il code review oppure le aziende lo saltano del tutto perché hanno bisogno di accelerare lo sviluppo.
Quest’ultima situazione è la più negativa: di fatto, l’azienda non ha effettuato i dovuti controlli di sicurezza sul proprio applicativo e correrà il rischio di esporre i propri clienti a vulnerabilità che invece potevano (e anzi: dovevano) essere intercettate e corrette.
In sostanza, il code review è un modo di intendere la sicurezza degli applicativi che non è più adatto all’attuale scenario in cui la cybersecurity deve essere parte integrante del ciclo di sviluppo del software e non può solo essere un “di più” prima del deployment. In altre parole: è necessario un cambio di paradigma.
DevSecOps: così si supera il code review
L’approccio DevSecOps (che sta per Development, Security, Operations) rappresenta un deciso cambio di passo per le organizzazioni.
Laddove per anni la sicurezza ha rappresentato un valore aggiunto che poteva anche essere evitato per risparmiare tempo e denaro, oggigiorno le aspettative del mercato richiedono non soltanto che la sicurezza di un applicativo sia elevata, ma che il ciclo di sviluppo del software non subisca ritardi. In pratica, bisogna lavorare meglio e con la stessa velocità di prima, se non superiore.
Per tale ragione il paradigma DevSecOps è fondamentale: fin dal momento della pianificazione e dello sviluppo, la sicurezza viene integrata e le scelte sono condivise fra tutti gli attori coinvolti. Ciò conduce a risultati migliori, meno errori e una migliore condivisione delle informazioni.
Inoltre, la condivisione delle responsabilità garantisce che chi sta lavorando al software sia consapevole di cosa deve fare e di come deve operare affinché la sicurezza non venga mai meno né vengano a crearsi, durante la scrittura del codice, quelle frequenti situazioni di vulnerabilità che possono rappresentare un problema quando il software è stato pubblicato.
Attraverso il DevSecOps, in altre parole, il processo di code review non avviene più a posteriori, ma è parte del ciclo di sviluppo e garantisce quindi risultati migliori: le eventuali vulnerabilità vengono identificate prima e quindi richiedono meno tempo per essere risolte. Così l’impresa può ridurre il time-to-market dell’applicativo e incrementare la qualità del software.
Superare il code review con DevSecOps
Il code review tradizionale è stato per anni il riferimento per la sicurezza dell’applicativo: oggi non è più sufficiente. Alle organizzazioni viene richiesto di dare massima priorità alla sicurezza; la metodologia DevSecOps rappresenta quindi la risposta ideale a uno scenario di competitività e di ridefinizione della sicurezza del software.
Un approccio integrato e condiviso, che garantisce risultati migliori e permette di unificare i flussi di lavoro dello sviluppo e della sicurezza in processo coerente, affidabile e senza soluzioni di continuità. Il DevSecOps alimenta la code review in ogni fase del ciclo di sviluppo del software: in questo modo la sicurezza diventa un perno dell’applicativo.
Le organizzazioni oggi patiscono la sicurezza perché la interpretano come un costo: con DevSecOps diventa parte integrante dello sviluppo e i risultati migliori sono immediatamente riconoscibili.