Emerasoft Srl
• Emerasoft srl
• Mission
• Vision
• Market & Solutions
Monica Burzio
Ugo Ciracì
Emerasoft Srl
Data di nascita: 2005
Dove siamo:
Via Po, 1 – TorinoPiazzale Luigi Sturzo, 15 - Roma
“Il nostro impegno è nella costante ricerca della migliore soluzioneper il cliente, garantendo eccellenza nella qualità di servizi eprodotti proposti. La nostra promessa è di svolgere il nostro lavorocon costanza e passione”
Emerasoft Srl
DevOpsIoT
Testing
ALM
SOABusiness Intelligence
Security
University
ALM+PLM
standard compliance
BRMS
User Experience SS4BEnterprise Mobility
agile
IoD
BPM
OpenSource
APIUsability
traceability
Compliance Management
ITSM
Emerasoft Srl
DevOpsIoT
Testing
ALM
SOABusiness Intelligence
Security
University
ALM+PLM
standard compliance
BRMS
User Experience SS4BEnterprise Mobility
agile
IoD
BPM
OpenSource
APIUsability
traceability
Compliance Management
ITSM
Emerasoft Srl
Agenda
Webinar: “DevSecOps: early, everywhere, at scale”
APRILE
24 MAGGIO 2017
• DevSecOps Community Survey 2017• Sicurezza e DevOps: lo stato attuale• La sicurezza automatizzata• La soluzione: Sonatype Nexus Lifecycle
2.292persone hanno condiviso con noi le loro esperienze.
In quale settore opera l’azienda?
dei partecipanti opera nei servizi
finanziari, nei servizi bancari e nel settore
tecnologico
il
Tecnologia
Servizi bancari e finanziari
Servizi di
consulenza
TelecomunicazioniMedia e
intrattenimento
Vendita
Assistenza sanitariaPA
Istruzione
IndustriaAltri
STATO ATTUALE
Livello adozione pratiche DevOps
ALLA RICERCA DI AGILITÀ
In quanti credono che le politiche/i team di sicurezza informatica
rallentino l'IT?
Le pratiche DevOps di alto livello hanno trovato un modo per integrare la sicurezza alla stessa velocità dello sviluppo.
SI SIDevOps non maturo o assente DevOps Maturo
58%crede che la sicurezzainibisca l'agilità DevOps
il 50%degli sviluppatori sa che la sicurezza è importante, ma non ha abbastanza tempo da
dedicarle.
Secondo l’approccio attuale, i vantaggi della sicurezza sono
solamente ostacoli, poiché sottolineano le vulnerabilità
senza risolverle.
vede i vantaggi della sicurezza
come “svantaggi”
SICUREZZA AUTOMATIZZATA
In che punto del processo di sviluppo vengono avviate le analisi di sicurezza delle applicazioni?
IN EVOLUZIONE
Design / Architecture Sviluppo Durante i QA/Test Prima di rilasciarle
alla produzione
Nella produzione Tutte le precedenti
Design / Architecture Durante i QA/Test Prima di rilasciarle alla produzione
Nella produzione Tutte le precedenti
Sviluppo
MATURO
Vengono eseguiti test automatizzati di sicurezza delle applicazioni durante le pratiche CI/CD?
Pratiche DevOps di alto livello stanno implementando più sicurezza automatizzata.
solo il
dei partecipanti avvia test di sicurezza
automatica durante
il CI/CD.
già il
ha test automatizzati di sicurezza in
pratiche DevOps di
alto livello.
Quali sono gli strumenti per la sicurezza delle applicazioni in uso?
Tutte le risposte Pratiche DevOps di alto livello
SCA = Source Code Analysis
SAST = Static Application Security Testing
DAST = DynamicApplication Security Testing
IAST = Interactive Application Security Testing
RASP = Run Time Application Security Protection
WAF = Web Application Firewall
ATTUARE UN
CONTROLLO
Abbiamo attuato buone pratiche e strumenti di controllo di versione, per mantenere trasparenza e tracciabilità in tutte le applicazioni rilasciate in produzione.
Concorda pienamente Concorda
Non concorda
del tutto Non concorda
affatto
ha implementato buone pratiche di controllo di versione.
È possibile che l'80% di una normale applicazione è assemblata da componenti e framework open source?
Eh si, sembra proprio di si
Forse è un po’ esagerato
Forse è un po' poco
Quante aziende hanno una politica
di governance open source?
(ad esempio, regole per l'uso di
buoni componenti e non dannosi)
SI SI
Viene controllato adeguatamente quali componenti open source e di terze parti vengono utilizzati durante lo sviluppo?
delle aziende non ha
controlli significativisui componenti presenti
nelle proprie
applicazioni.ha un resoconto
completo del
materiale software per ogni
applicazione.
il
il
FALLE NELLA SICUREZZA? CAPITA
L’azienda ha subito violazioni attribuibili a una vulnerabilità di un componente o di una dipendenza open source negli ultimi 12 mesi?
sospetta o ha verificato una violazione collegata a componenti open source nel sondaggio del 2014.
il ilsospetta o ha verificato
una violazione collegata a componenti open source
negli ultimi 12 mesi.
1 su 5 ha riscontrato o sospettato vulnerabilità nelle web application
negli ultimi 12 mesi.
SICUREZZA DEI CONTAINER
Non sono emersi vendor dominanti e i Docker container registry privati continuano a essere i più popolari.
Quali container registry privati vengono utilizzate?
Altri
Concorda pienamente Concorda
Non concorda
del tutto
Non concorda
affatto
Quando si impiegano i container, la sicurezza è una nostra priorità.
concorda sul fatto che la sicurezza sia una priorità quando si impiegano i container.
SI
Ci affidiamo a prodotti per la sicurezza per identificare applicazioni/OS/configurazioni vulnerabili nei container.
sostiene che la sicurezza dei container
sia importante, ma solo la metà l'ha implementata.
FORMAZIONE
Quale formazione sulla sicurezza delle applicazioni è disponibile?
di coloro che hanno pratiche DevOps di basso livello non
ricevono formazione.
il Nessuna
Coding/programmazione sicuri
Con un istruttore
SONATYPE SOLUTION
VULNERABILITIES LICENCES
POLICIES
SONATYPE NEXUS LIFECYCLE
HIGH
MEDIUM
LOW
RISK
LEVEL
JARJS
.NET
PY
DOCKER
DEV TEST INT QA UAT PRD
3RD PARTIES
COMPONENTS
IDE
INTEGRATION
ABSTRACTION
CONTROL
Web Application
Firewall
https://www.sonatype.com/devsecops
GARTNER RESEARCH 'DEVSECOPS: HOW TO SEAMLESSLY INTEGRATE SECURITY INTO
DEVOPS'
http://www.devsecops.org/
DEVSECOPS MANIFESTO
Web Application
Firewallhttps://nvd.nist.gov/
NIST NATIONAL VULNERABILITIES DATABASE
DEVSECOPS REFERENCES
WHAT’S NEXT
Contenuti disponibili su:
Canale slideshare di Emerasoft
Canale Youtube Emerasoft
Visita il nostro sito emerasoft.com
Contattaci: [email protected] @
WWW
Segui i nostri canali…
Emerasoft Srl
via Po, 1 – 10124 TorinoPiazzale Luigi Sturzo, 15 - 00144 Roma
T +39 011 0120370 T +39 06 87811323F +39 011 3710371
Grazie…
Contatti
Top Related