Componenti di sviluppo Open Source, poca l’attenzione maggiori i rischi

DevopsProgetti

Un’indagine di CA Technologies in ambito DevOpsSec rivela come meno del 25 percento degli sviluppatori testa le componenti Open Source per identificarne le vulnerabilità

I processi di sviluppo software basati su metodologie come DevSecOps hanno effettivamente contribuito a migliorare la sicurezza del codice scritto dagli sviluppatori. Lo scenario infatti vede  in un certo senso scontrarsi le esigenze dell’Application Economy – che richiede tempi di reazione e prontezza negli aggiornamenti impensabili anche solo fino a cinque anni fa –  con i processi di sviluppo che puntano a ottenere una velocità ed efficienza ancora maggiori, ma spesso mettendo a rischio la sicurezza.

E’ quello che emerge da una ricerca CA Veracode (Veracode, con la sua proposta di soluzioni per offrire sicurezza senza frizioni in ambito DevOps è stata acquisita da CA Technologies proprio un anno fa).

La ricerca è stata condotta online a febbraio da Vanson Bourne, tramite interviste a 400 developer tra Usa, Uk e Germania, ed evidenzia il dato quantitativo secondo cui gli sviluppatori fanno ricorso a componenti che mutuano le proprie caratteristiche e funzionalità da progetti e library già esistenti con l’83 per cento degli intervistati che utilizza componenti commercial e/o Open Source, impiegando una media di 73 componenti per applicazione.

CA Veracode – Utilizzo di componenti di terze parti

Allo stesso tempo solo il 52 per cento degli sviluppatori che utilizza componenti Open Source o commercial per le applicazioni aggiorna tali componenti ogni volta che viene rivelata una nuova vulnerabilità, da qui il primo rischio di esposizione alla violazioni per le aziende.

Sono indubbi i benefici dell’utilizzo di componenti “preconfezionate”, anzi, spesso è ritenuto una best practice proprio perché evita di “ricomettere” errori già sanati. E tuttavia la scelta di utilizzarle sembra non si accompagni con quella di testarle (lo fa solo il 23 percento del campione) al rilascio delle release per isolare le vulnerabilità, e questo nonostante i dati fotografino una media di 71 vulnerabilità per applicazione derivanti dall’utilizzo di componenti di terze parti.

Allo stesso tempo solo il 71 per cento delle organizzazioni dichiara di avere in esecuzione un programma di Application Security (AppSec) vero e proprio.

Inoltre la ricerca evidenzia come solo il 53 per cento delle organizzazioni mantenga un inventario di tutte le componenti delle proprie applicazioni.

Ricerca CA Veracode – Valutazioni nella scelta dell’adozione di componenti

Quello di Pete Chestna, Director of Developer Engagement di CA Veracode, sembra quindi un vero e proprio richiamo ad identificare con più impegno il codice di qualità con il codice prima di tutto sicuro: “Per avere successo, gli sviluppatori devono fare chiarezza sulle proprie policy di sicurezza e sui tool di misurazione. Una volta definito chiaramente l’obiettivo e predisposto l’accesso agli appositi tool, gli sviluppatori potranno integrare la scansione all’inizio del ciclo di sviluppo del software, in modo da prendere decisioni informate sulla sicurezza e ottenere così miglioramenti consistenti dal punto di vista dello sviluppo di software sicuro e di quello che ne consegue”.

La fotografia dello studio dice che i team addetti allo sviluppo (44 percento) o alla sicurezza (31 percento) tendono spesso a occuparsi della manutenzione delle componenti commercial e Open Source di terze parti, il che sembrerebbe suggerire un’assunzione di responsabilità da parte dei team di sviluppo, da un lato quindi è giusto registrare la crescente consapevolezza del rischio associato all’Open Source, dall’altro mettere a disposizione degli sviluppatori le soluzioni, la formazione e la visibilità necessarie a mitigare i rischi per creare più rapidamente applicazioni migliori e più sicure.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore