Dizionario DevSecOps: gli acronimi che un DevOp deve conoscere per orientarsi nel nuovo mondo

0

Considerato quanto è stato (e rimane) difficile per molti misurarsi con la richiesta di DevOps nel mercato I.T. attuale, in particolare nel capire quante e quali siano le competenze da colmare, l’ascesa dei DevSecOps sta mettendo tutti di fronte ad un’ulteriore necessità di evoluzione, che pende verso la sicurezza.

Lo ripetiamo da tempo, la sfida dell’era cloud-native è incentrata sulla sicurezza e la metodologia DevSecOps si pone l’obiettivo di definire standard per tutti i nuovi workflow, non a caso sono proprio i DevSecOps a guidare le pipeline di produzione.

Ecco quindi, per gentile concessioni di devops.com e dell’autore Gilad David Maayan, una guida rapida a buona parte degli acronimi che usualmente sono utilizzati nei contesti DevSecOps, molto utile per quanti gli acronimi non li sopportino e ci debbano convivere forzatamente:

  • SBOM – Software Bill of Materials: l’insieme di tutti i componenti e delle dipendenze software nella creazione e messa in produzione dell’applicazione. Fornisce visibilità su tutti i diversi componenti e licenze inclusi in un software per aiutare a scoprire potenziali vulnerabilità e rischi di licenza.
  • DAST – Dynamic Application Security Testing: analisi dinamica delle applicazioni con simulazione di attacchi attraverso specifici tool (DAST tools) che aiutino a far emergere difetti e vulnerabilità.
  • SCA – Software Composition Analysis: analisi mediante specifici tool delle vulnerabilità relative alle applicazioni di terze parti e dipendenze varie.
  • SAST – Static Application Security Testing: analisi mediante specifici tool del codice sorgente relativo alle applicazioni, ai servizi ed ai microservizi, per favorire la scoperta di codice insicuro.
  • IAST—Interactive Application Security Testing: analisi del codice sorgente alla scoperta di vulnerabilità mentre l’applicazione è in esecuzione, quindi non interviene nel processo di CI/CD.
  • RASP – Runtime Application Self-Protection: rilevazione e risposta ad attacchi mediante tool specifici che identificano potenziali pericoli dinamicamente analizzando il traffico in ingresso.
  • OWASP – Open Web Application Security Project: progetto non-profit promosso da volontari che ha l’obiettivo di aumentare la sicurezza mediante risorse e tool (alcuni dei quali li abbiamo raccontati in questo articolo).
  • XDR – Extended Detection and Response: monitoraggio ed analisi a vari livelli di tutte le potenziali minacce che garantiscono una scoperta più rapida delle eventuali problematiche.
  • XSS – Cross-Site Scripting: una vulnerabilità di sicurezza presente nella OWASP Top 10 che ancora non è stata rimossa dalla sua iniziale inclusione, nel 2003 (!).
  • SQLi – SQL Injection: sfrutta anomalie nell’esecuzione delle iterazioni dell’applicazione con i database per inserire porzioni di codice malevolo che espongono i sistemi agli attaccanti.
  • CSRF – Cross-Site Request Forgery: diffusa metodologia d’attacco che consente al malintenzionato di sfruttare una sessione si autenticazione tra il browser dell’utente e l’applicazione vera e propria.
  • SAML – Security Assertion Markup Language: standard di archiviazione per la condivisione di informazioni riservate tipicamente implementate mediante Extensible Markup Language (XML) ed utilizzato nei sistemi single sign-on (SSO).

Tutto qui? In verità, ovviamente no, ma per chi ha la memoria corta (io!) avere a portata di mano il significato di questi acronimi ha certamente un suo senso.

Se poi qualcuno volesse approfondire nel dettaglio i vari tool, ecco un altro stupendo articolo di Drew Robb, di eSecurity Planet, che mostra ben ventiquattro tool (!) per effettuare scan ed analisi di sicurezza.

Certo, da lì a capire quali siano i contesti in cui ciascuna di queste entità esistono è un’altra partita, ma è pur sempre un inizio, no?

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.