Emerasoft Srl

• Emerasoft srl

• Mission

• Vision

• Market & Solutions

Monica Burzio

Ugo Ciracì

Emerasoft Srl

Data di nascita: 2005

Dove siamo:

Via Po, 1 – TorinoPiazzale Luigi Sturzo, 15 - Roma

“Il nostro impegno è nella costante ricerca della migliore soluzioneper il cliente, garantendo eccellenza nella qualità di servizi eprodotti proposti. La nostra promessa è di svolgere il nostro lavorocon costanza e passione”

Emerasoft Srl

DevOpsIoT

Testing

ALM

SOABusiness Intelligence

Security

University

ALM+PLM

standard compliance

BRMS

User Experience SS4BEnterprise Mobility

agile

IoD

BPM

OpenSource

APIUsability

traceability

Compliance Management

ITSM

Emerasoft Srl

DevOpsIoT

Testing

ALM

SOABusiness Intelligence

Security

University

ALM+PLM

standard compliance

BRMS

User Experience SS4BEnterprise Mobility

agile

IoD

BPM

OpenSource

APIUsability

traceability

Compliance Management

ITSM

Emerasoft Srl

Agenda

Webinar: “DevSecOps: early, everywhere, at scale”

APRILE

24 MAGGIO 2017

• DevSecOps Community Survey 2017• Sicurezza e DevOps: lo stato attuale• La sicurezza automatizzata• La soluzione: Sonatype Nexus Lifecycle

2.292persone hanno condiviso con noi le loro esperienze.

In quale settore opera l’azienda?

dei partecipanti opera nei servizi

finanziari, nei servizi bancari e nel settore

tecnologico

il

Tecnologia

Servizi bancari e finanziari

Servizi di

consulenza

TelecomunicazioniMedia e

intrattenimento

Vendita

Assistenza sanitariaPA

Istruzione

IndustriaAltri

STATO ATTUALE

Livello adozione pratiche DevOps

ALLA RICERCA DI AGILITÀ

In quanti credono che le politiche/i team di sicurezza informatica

rallentino l'IT?

Le pratiche DevOps di alto livello hanno trovato un modo per integrare la sicurezza alla stessa velocità dello sviluppo.

SI SIDevOps non maturo o assente DevOps Maturo

58%crede che la sicurezzainibisca l'agilità DevOps

il 50%degli sviluppatori sa che la sicurezza è importante, ma non ha abbastanza tempo da

dedicarle.

Secondo l’approccio attuale, i vantaggi della sicurezza sono

solamente ostacoli, poiché sottolineano le vulnerabilità

senza risolverle.

vede i vantaggi della sicurezza

come “svantaggi”

SICUREZZA AUTOMATIZZATA

In che punto del processo di sviluppo vengono avviate le analisi di sicurezza delle applicazioni?

IN EVOLUZIONE

Design / Architecture Sviluppo Durante i QA/Test Prima di rilasciarle

alla produzione

Nella produzione Tutte le precedenti

Design / Architecture Durante i QA/Test Prima di rilasciarle alla produzione

Nella produzione Tutte le precedenti

Sviluppo

MATURO

Vengono eseguiti test automatizzati di sicurezza delle applicazioni durante le pratiche CI/CD?

Pratiche DevOps di alto livello stanno implementando più sicurezza automatizzata.

solo il

dei partecipanti avvia test di sicurezza

automatica durante

il CI/CD.

già il

ha test automatizzati di sicurezza in

pratiche DevOps di

alto livello.

Quali sono gli strumenti per la sicurezza delle applicazioni in uso?

Tutte le risposte Pratiche DevOps di alto livello

SCA = Source Code Analysis

SAST = Static Application Security Testing

DAST = DynamicApplication Security Testing

IAST = Interactive Application Security Testing

RASP = Run Time Application Security Protection

WAF = Web Application Firewall

ATTUARE UN

CONTROLLO

Abbiamo attuato buone pratiche e strumenti di controllo di versione, per mantenere trasparenza e tracciabilità in tutte le applicazioni rilasciate in produzione.

Concorda pienamente Concorda

Non concorda

del tutto Non concorda

affatto

ha implementato buone pratiche di controllo di versione.

È possibile che l'80% di una normale applicazione è assemblata da componenti e framework open source?

Eh si, sembra proprio di si

Forse è un po’ esagerato

Forse è un po' poco

Quante aziende hanno una politica

di governance open source?

(ad esempio, regole per l'uso di

buoni componenti e non dannosi)

SI SI

Viene controllato adeguatamente quali componenti open source e di terze parti vengono utilizzati durante lo sviluppo?

delle aziende non ha

controlli significativisui componenti presenti

nelle proprie

applicazioni.ha un resoconto

completo del

materiale software per ogni

applicazione.

il

il

FALLE NELLA SICUREZZA? CAPITA

L’azienda ha subito violazioni attribuibili a una vulnerabilità di un componente o di una dipendenza open source negli ultimi 12 mesi?

sospetta o ha verificato una violazione collegata a componenti open source nel sondaggio del 2014.

il ilsospetta o ha verificato

una violazione collegata a componenti open source

negli ultimi 12 mesi.

1 su 5 ha riscontrato o sospettato vulnerabilità nelle web application

negli ultimi 12 mesi.

SICUREZZA DEI CONTAINER

Non sono emersi vendor dominanti e i Docker container registry privati continuano a essere i più popolari.

Quali container registry privati vengono utilizzate?

Altri

Concorda pienamente Concorda

Non concorda

del tutto

Non concorda

affatto

Quando si impiegano i container, la sicurezza è una nostra priorità.

concorda sul fatto che la sicurezza sia una priorità quando si impiegano i container.

SI

Ci affidiamo a prodotti per la sicurezza per identificare applicazioni/OS/configurazioni vulnerabili nei container.

sostiene che la sicurezza dei container

sia importante, ma solo la metà l'ha implementata.

FORMAZIONE

Quale formazione sulla sicurezza delle applicazioni è disponibile?

di coloro che hanno pratiche DevOps di basso livello non

ricevono formazione.

il Nessuna

Coding/programmazione sicuri

Con un istruttore

SONATYPE SOLUTION

VULNERABILITIES LICENCES

POLICIES

SONATYPE NEXUS LIFECYCLE

HIGH

MEDIUM

LOW

RISK

LEVEL

JARJS

.NET

PY

DOCKER

DEV TEST INT QA UAT PRD

3RD PARTIES

COMPONENTS

IDE

INTEGRATION

ABSTRACTION

CONTROL

Web Application

Firewall

https://www.sonatype.com/devsecops

GARTNER RESEARCH 'DEVSECOPS: HOW TO SEAMLESSLY INTEGRATE SECURITY INTO

DEVOPS'

http://www.devsecops.org/

DEVSECOPS MANIFESTO

Web Application

Firewallhttps://nvd.nist.gov/

NIST NATIONAL VULNERABILITIES DATABASE

DEVSECOPS REFERENCES

WHAT’S NEXT

Contenuti disponibili su:

Canale slideshare di Emerasoft

Canale Youtube Emerasoft

Visita il nostro sito emerasoft.com

Contattaci: sales@emerasoft.com @

WWW

Segui i nostri canali…

www.emerasoft.comsales@emerasoft.com

Emerasoft Srl

via Po, 1 – 10124 TorinoPiazzale Luigi Sturzo, 15 - 00144 Roma

T +39 011 0120370 T +39 06 87811323F +39 011 3710371

Grazie…

Contatti