Shift left security: come far lavorare insieme concretamente sviluppo e sicurezza

Shift left security: come far lavorare insieme concretamente sviluppo e sicurezza

L’approccio cosiddetto “shift left” nei confronti della sicurezza del software non è più un semplice valore aggiunto ma rappresenta, oggi, una precisa aspettativa e una precisa necessità per le organizzazioni. La sicurezza dev’essere al centro fin dalla fase di pianificazione dello sviluppo di nuovi applicativi: solo così i processi possono essere ottimizzati e più efficienti, i team possono realmente collaborare fra di loro e il risultato finale può aderire alle aspettative, non solo di performance ma anche di compliance, sempre più elevate. 

Viceversa, la metodologia convenzionale (detta anche shift right) è obsoleta: non è più sufficiente continuare a lavorare seguendo vecchie abitudini che andavano bene in un contesto, commerciale e produttivo, meno sfidante e meno veloce. 

Sposare il metodo shift left, quindi, è essenziale per ottenere risultati migliori e applicativi più sicuri e per innestare pratiche agili e flessibili nel ciclo di vita dello sviluppo del software. 

modern-application-development

Shift left: perché è nato questo metodo 

Inutile girarci attorno: le vulnerabilità di sicurezza oggi sono molto più difficili da giustificare rispetto al passato, ed è ancora più costoso correggerle dopo aver distribuito il software. Se ipotizziamo l’eventualità — nemmeno così remota — di terze parti malevole che sfruttano il software, una falla nella sicurezza di questo tipo rappresenta un danno incalcolabile per le organizzazioni.  

Oltre a essere un danno per chi ha sviluppato il software, un’intrusione di terzi lo è anche per chi sta usando quel software e a sua volta per i suoi clienti: un effetto domino con una crescita esponenziale. In pratica, una vulnerabilità alla sicurezza oggi è molto più grave che in passato.  

Per questo motivo è stato necessario cambiare paradigma, modi di pensare e di interpretare lo sviluppo del software affinché la sicurezza fosse implementata fin da subito e non solo successivamente alla fase di sviluppo e in prossimità al lancio dell’applicativo. Tale approccio è limitativo e rigido in quanto un eventuale problema di sicurezza bloccherebbe i processi di sviluppo e potenzialmente renderebbe necessari interventi pervasivi.  

Shift left: i benefici per le aziende 

Sposare la metodologia shift left comporta, quindi, che la sicurezza entri direttamente nei processi propedeutici di pianificazione e di sviluppo; affinché, eventuali problemi siano risolti all’inizio e prima che si passi allo sviluppo vero e proprio.  

La stessa espressione “shift left” significa questo: spostare verso sinistra, cioè verso l’inizio della linea temporale che rappresenta visivamente il ciclo di sviluppo del software, l’integrazione della sicurezza. 

I vantaggi sono molteplici: 

  • far lavorare insieme fin da subito i vari reparti coinvolti nello sviluppo (sviluppatori, reparto IT, tester, ecc.) migliora la collaborazione e rende più flessibile lo sviluppo del codice; 
  • i problemi di sicurezza vengono prevenuti, mentre quelli rilevati possono essere risolti utilizzando meno risorse e in meno tempo; 
  • le organizzazioni ottimizzano i costi perché l’approccio shift left riduce il time-to-market; 
  • l’applicativo avrà meno problemi e sarà più performante in virtù della collaborazione fra i vari reparti coinvolti e ciò significherà migliorare la soddisfazione dei clienti. 

Ciò non significa rinunciare a un ulteriore controllo dopo che il codice è stato scritto, ma che la sicurezza non può essere considerata soltanto come un’aggiunta: dev’essere parte integrante del processo dal principio sino alla sua conclusione (e anche dopo). 

Shift left: un altro modo di sviluppare 

La metodologia shift left garantisce quindi importanti benefici integrando sviluppo e sicurezza fin da subito. Prima di cominciare lo sviluppo è importante che vengano stabilite le politiche e le regole da seguire per standardizzare i processi e che tutti ne siano al corrente; inoltre, integrare la sicurezza mentre il codice è in sviluppo implica poter rimediare già in questa fase. Tale situazione incentiva la collaborazione e la comunicazione: due ingredienti fondamentali della metodologia DevSecOps e cuore pulsante dell’approccio shift left. L’integrazione di sistemi automatizzati, inoltre, permette di rilevare più facilmente le anomalie e le falle, con ulteriori accelerazioni dei tempi di sviluppo. 

Le organizzazioni capaci di dare forma e sostanza a questa metodologia sono in grado di massimizzare il valore dei propri applicativi e registrano un sensibile miglioramento del risultato finale. In definitiva, il metodo shift left è la strada da seguire per lo sviluppo di applicazioni sicure, performanti e vincenti.