Gestire gli ambienti ibridi e multicloud è ormai sinonimo di sicurezza dello sviluppo software. Il tema è dibattuto da tempo e vede la sua genesi nel fatto che le app sono ormai diventate strumenti di business, le cui funzionalità rappresentano un indice di competitività. Questo ha fatto sì che si spingesse eccessivamente sull’approccio basato sulla velocità, anziché sul fattore sicurezza. Non solo: l’uso di strumenti di sviluppo antiquati e con scarsa automazione ha portato a commettere errori che hanno favorito gli attacchi cyber. Il report The convergence of observability and security is critical to realizing DevSecOps potential condotto da Dynatrace, su 1.300 CISO di grandi organizzazioni, di cui 100 in Italia, aiuta a comprendere la percezione del problema e le soluzioni adottate o in via di adozione.

Circoscrivendo i dati all’Italia, quello che emerge è che il 34% dei CISO italiani (rispetto al 50% a livello globale) è pienamente convinto che il software fornito dai team di sviluppo sia stato completamente testato per le vulnerabilità prima di essere messo in produzione. Il 75% dei CISO italiani (77% a livello globale) dichiara che è una sfida significativa stabilire le priorità delle vulnerabilità perché non dispone di informazioni sul rischio che queste rappresentano per il proprio ambiente.

Inoltre, il 54% degli avvisi di vulnerabilità (58% a livello globale) che gli scanner di sicurezza segnalano come “critici” non sono importanti in produzione, sprecando tempo prezioso per lo sviluppo alla ricerca di falsi positivi. E in media in Italia, ciascun membro dei team di sviluppo e sicurezza delle applicazioni spende un quarto del proprio tempo (25%), ovvero 10 ore alla settimana, per attività di gestione delle vulnerabilità che potrebbero essere automatizzate.

Che cos’è che favorisce maggiormente l’infiltrazione di vulnerabilità nella produzione? Secondo il 73% dei CISO italiani è la prevalenza di silos di team e di soluzioni specifiche in tutto il ciclo di vita DevSecOps. Proprio sullo sviluppo sicuro di software è necessario lavorare, perché in mancanza di un reale approccio DevSecOps ci sarà un crescente numero di exploit di vulnerabilità. Il lavoro da fare è molto, dato che dalle interviste risulta che solo il 14% delle organizzazioni italiane (il 12% a livello globale) ha una cultura DevSecOps matura.

La maturazione deve ovviamente partire dall’approccio mentale delle aziende e di tutte le persone coinvolte, per poi declinarsi in concreto nell’adozione di soluzioni basate su AI e automazione, come sottolinea l’89% degli intervistati in Italia. Ultimo ma non meno importante, il 65% dei CISO italiani (contro il 76% a livello globale) indica che il tempo che intercorre tra la scoperta di attacchi zero-day e la capacità di applicare patch a ogni istanza rappresenta una sfida significativa per ridurre al minimo il rischio.