Funzioni di sicurezza e DevSecOps delle applicazioniApplication security and DevSecOps functions

L'obiettivo della sicurezza delle applicazioni e DevSecOps è integrare le garanzie di sicurezza nei processi di sviluppo e nelle applicazioni line-of-business (LOB) personalizzate.The objective of application security and DevSecOps is to integrate security assurances into development processes and custom line of business (LOB) applications.

ModernizzazioneModernization

Lo sviluppo di applicazioni viene rapidamente rimodellato in più aspetti, tra cui il modello Team DevOps, la cadenza rapida di rilascio DevOps e la composizione tecnica delle applicazioni tramite servizi cloud e API.Application development is rapidly being reshaped in multiple aspects simultaneously including the DevOps team model, DevOps rapid release cadence, and the technical composition of applications via cloud services and APIs. Scopri in che modo il cloud sta cambiando le relazioni di sicurezza e le responsabilità per comprendere queste modifiche.See how the cloud is changing security relationships and responsibilities to understand these changes.

Questa modernizzazione dei modelli di sviluppo obsoleti presenta sia opportunità che requisiti per modernizzare la sicurezza delle applicazioni e dei processi di sviluppo.This modernization of antiquated development models presents both opportunity and a requirement to modernize security of applications and development processes. La fusione di sicurezza nei processi DevOps è spesso definita DevSecOps e le unità cambiano, tra cui:The fusion of security into DevOps processes is often referred to as DevSecOps and drives changes including:

  • La sicurezza è integrata, non al di fuori dell'approvazione: Il ritmo rapido di cambiamenti nello sviluppo di applicazioni rende obsoleti gli approcci di "analisi e report" di lunga durata delle armi.Security is integrated, not outside approval: The rapid pace of change in application development makes classic arms-length "scan and report" approaches obsolete. Questi approcci legacy non possono rimanere al passo con i rilasci senza rettificare lo sviluppo fino a una pausa e creare ritardi per il mercato, sottoutilizzo degli sviluppatori e crescita del backlog dei problemi.These legacy approaches can't keep up with releases without grinding development to a halt and creating time-to-market delays, developer underutilization, and growth of issue backlog.
    • Il passaggio a sinistra per coinvolgere la protezione in precedenza nei processi di sviluppo delle applicazioni, come la risoluzione dei problemi in precedenza, è più economico, veloce ed efficace.Shift left to engage security earlier in application development processes as fixing issues earlier is cheaper, faster, and more effective. Se si attende che la torta venga cotta, è più difficile modificare la forma.If you wait until after the cake is baked, it is harder to change the shape.
    • Integrazione nativa: Le procedure di sicurezza devono essere integrate facilmente per evitare un attrito non integro nei flussi di lavoro di sviluppo e nei processi di integrazione continua/distribuzione continua (CI/CD).Native integration: Security practices must be integrated seamlessly to avoid unhealthy friction in development workflows and continuous integration/continuous deployment (CI/CD) processes. Per ulteriori informazioni sull'approccio di GitHub, vedere la pagina relativa alla protezione del software insieme.For more information about the GitHub approach, see Securing software, together.
    • Sicurezza di alta qualità: La sicurezza deve fornire risultati di qualità elevata e linee guida che consentono agli sviluppatori di risolvere i problemi in modo rapido e non sprecano tempo per sviluppatori con falsi positivi.High-quality security: Security must provide high-quality findings and guidance that enable developers to fix issues fast and don't waste developer time with false positives.
    • Impostazioni cultura convergenti: I ruoli di sicurezza, sviluppo e operazioni devono contribuire a elementi chiave in impostazioni cultura condivise, valori condivisi e obiettivi condivisi e responsabilità.Converged culture: Security, development, and operations roles should contribute key elements into a shared culture, shared values, and shared goals and accountabilities.
  • Sicurezza agile: Spostare la sicurezza da un approccio "deve essere perfetto per la spedizione" a un approccio agile che inizia con una protezione minima e valida per le applicazioni (e per i processi di sviluppo) che viene continuamente migliorato in modo incrementale.Agile security: Shift security from a "must be perfect to ship" approach to an agile approach that starts with minimum viable security for applications (and for the processes to develop them) that is continuously improved incrementally.
  • Adottare le funzionalità di sicurezza e infrastruttura native del cloud per semplificare i processi di sviluppo integrando la sicurezza.Embrace cloud-native infrastructure and security features to streamline development processes while integrating security.
  • Gestione dei rischi Supply Chain: È possibile adottare un approccio con attendibilità zero per il software open source (OSS) e i componenti di terze parti che ne convalidano l'integrità e assicurano l'applicazione di correzioni di bug e aggiornamenti a questi componenti.Supply chain risk management: Take a zero-trust approach to open-source software (OSS) and third-party components that validate their integrity and ensure that bug fixes and updates are applied to these components.
  • Apprendimento continuo: Il ritmo di rilascio rapido dei servizi per gli sviluppatori, talvolta denominati servizi di piattaforma distribuita come servizio (PaaS) e la modifica della composizione delle applicazioni, significa che i membri del team di sviluppo, OPS e sicurezza potranno apprendere continuamente nuove tecnologie.Continuous learning: The rapid release pace of developer services, sometimes called platform as a service (PaaS) services, and changing composition of applications means that dev, ops, and security team members will be constantly learning new technology.
  • Approccio programmatico alla sicurezza delle applicazioni per garantire un miglioramento continuo dell'approccio agile.Programmatic approach to application security to ensure continuous improvement of the agile approach happens.

Per ulteriori informazioni sul contesto, vedere ciclo di vita dello sviluppo Microsoft Secure.For additional context, see Microsoft secure development lifecycle.

Composizione del team e relazioni tra chiaviTeam composition and key relationships

Le funzioni di sicurezza e DevSecOps delle applicazioni vengono eseguite idealmente da sviluppatori e team operativi con supporto per la sicurezza (con il supporto di esperti in materia di sicurezza).Application security and DevSecOps functions are ideally performed by security aware developers and operations teams (with the support of security subject matter experts).

Questa funzione interagisce in genere con altre funzioni ed esperti, tra cui:This function commonly interacts with other functions and experts including:

  • Architettura e operazioni di sicurezzaSecurity architecture and operations
  • Sicurezza dell'infrastrutturaInfrastructure security
  • Comunicazioni (formazione e strumenti)Communications (training and tooling)
  • Sicurezza delle personePeople security
  • Identità e chiaviIdentity and keys
  • Team di gestione dei rischi e conformitàCompliance/risk management teams
  • Principali leader aziendali o rappresentantiKey business leaders or their representatives

Passaggi successiviNext steps

Esaminare la funzione di sicurezza dei dati.Review the function of data security.