La gestione della sicurezza nello sviluppo del codice è diventata talmente importante da fare evolvere la tradizionale metodologia DevOps.
Notata questa tendenza, ci siamo chiesti quanto in Italia questa pratica fosse diffusa e qual è la sensibilità a questo tema tra developer e aziende tech.
Per trovare la risposta abbiamo scommesso su una nuova conferenza: devsecopsday, la prima conferenza italiana dedicata alla pratiche di sicurezza in ambito DevOps.
L’entusiasmo della community DevOps italiana si è fatto sentire subito: oltre 200 persone hanno seguito la conferenza (tra presenza ed online). Sono numeri importanti per una prima edizione.
Ma questo non risponde ancora alla nostra domanda.
Cosa significa DevSecOps?
Questa è la domanda che abbiamo rivolto a persone di spicco della community: c’è chi ha esperienza decennale, chi ha lo sguardo fresco delle nuove generazioni, chi invece si è formato con un percorso trasversale.
Ecco alcune delle definizioni che abbiamo raccolto tra il serio e il faceto durante la cena che ha anticipato la conferenza.
“Il DevSecOps é una metodologia che permette di condividere le sofferenze e i dolori di fare security con gli sviluppatori.”
Luca Bandini – DevOps Engineer @ SIGUHP
“Gli informatici amano le sigle, quando vedono l’opportunità di crearne una nuova ci si infilano dentro.”
Edoardo Dusi – Developer Relations Engineer presso SparkFabrik
“Per me, DevSecOps è come mettere le fondamenta in una casa. Assicura che tutto ciò che costruiamo, dal codice all’infrastruttura, sia robusto e sicuro fin dall’inizio. È la cultura di non compromettere la sicurezza pur rimanendo agili e innovativi.”
Monica Colangelo – Principal Cloud Architect @ NTTDATA
“Io lo associo a tutte quelle pratiche che mi aiutano da un lato ad automatizzare la catena di produzione e delivery del software, dall’altro a proteggerla da possibili attacchi che possono arrivare da codice malevolo, dipendenze bacate, da sistemi di build compromessi. È una pratica importante perché questi attacchi stanno aumentando sempre di più.”
Giovanni Galloro – DevOps & Containers Technical Specialist @ Google
“DevSecOps aggiunge la componente di sicurezza ai principi che già compongono la “nuvola semantica” della parola DevOps. In particolare possiamo definire DevSecOps come l’insieme degli strumenti, le metodologie, i processi, e i principi di cultura aziendale che contribuiscono ad aumentare l’automazione dei controlli di sicurezza, la loro visibilità e trasparenza ai diversi team, il monitoraggio e tracciamento continuo, la loro definizione “as code”, rendendo il più possibile frictionless e automatica l’implementazione e l’enforcing di principi di sicurezza e compliance in tutte le fasi dello sviluppo e dell’implementazione di infrastrutture IT.”
Alessandro Franceschi – La Brigata dei Geek Estinti
“Una definizione che si dà a tutti i lavori che c’entrano con DevOps e container a cui aggiungere le pratiche di sicurezza. Alla fine, sono tutti lavori uguali.”
Davide Imola – DevOps Engineer @ RedCarbon
“Per me che sono una Dev significa scrivere codice robusto e testato che non crei buchi di sicurezza e che nn metta i bastoni tra le ruote ai team operation.”
Giovanna Monti – Full Stack Developer @ Mia-Platform
“E’ un male necessario.”
Matteo Renzi – System Integration Engineer @ Dedalus Italia Spa
“Quando sviluppi parti da un’idea e la devi trasformare in qualcosa che riesci ad eseguire. Devi fare in modo che funzioni tutto, funzioni bene e funzioni in modo sicuro. DevSecOps ti dice che passettini devi fare per farlo. Poi se ci arrivi dipende un po’ dall’universo come la vede in quel momento.
Giorgia Rondinini – Platform Engineer @ Imola Informatica
“Un settore sul quale bisognerebbe investire di più”
Gabriele Santomaggio – Staff Software Engineer @ VMware
“Finalmente, il grande assente entra a far parte della rivoluzione dell’automazione. La sicurezza non è più soltanto un requisito formale, ma diventa parte integrante del ciclo di rilascio del software. La strada da percorrere è ancora molto lunga, ma la direzione è quella giusta.”
Giovanni Toraldo – DevOps Engineer @ Hyland
Come conoscere meglio DevSecOps?
Mettere un po’ di leggerezza in questa definizione, che alle volte sembra più un esercizio didattico che un’esigenza da developer, ci è sembrato il modo migliore per puntare l’attenzione su un argomento che ha sempre maggiore impatto nelle pratiche di sviluppo del codice.
Per approfondire meglio le tematiche DevOps e DevSecOps ecco alcuni suggerimenti:
- Acquista i video della giornata per ascoltare subito tutti i talk
- Partecipa alla prossima edizione di Incontro DevOps Italia
