Dizionario DevSecOps: gli acronimi che un DevOp deve conoscere per orientarsi nel nuovo mondo

DevSecOps

Considerato quanto è stato (e rimane) difficile per molti misurarsi con la richiesta di DevOps nel mercato I.T. attuale, in particolare nel capire quante e quali siano le competenze da colmare, l’ascesa dei DevSecOps sta mettendo tutti di fronte ad un’ulteriore necessità di evoluzione, che pende verso la sicurezza.

Lo ripetiamo da tempo, la sfida dell’era cloud-native è incentrata sulla sicurezza e la metodologia DevSecOps si pone l’obiettivo di definire standard per tutti i nuovi workflow, non a caso sono proprio i DevSecOps a guidare le pipeline di produzione.

Ecco quindi, per gentile concessioni di devops.com e dell’autore Gilad David Maayan, una guida rapida a buona parte degli acronimi che usualmente sono utilizzati nei contesti DevSecOps, molto utile per quanti gli acronimi non li sopportino e ci debbano convivere forzatamente:

  • SBOM – Software Bill of Materials: l’insieme di tutti i componenti e delle dipendenze software nella creazione e messa in produzione dell’applicazione. Fornisce visibilità su tutti i diversi componenti e licenze inclusi in un software per aiutare a scoprire potenziali vulnerabilità e rischi di licenza.
  • DAST – Dynamic Application Security Testing: analisi dinamica delle applicazioni con simulazione di attacchi attraverso specifici tool (DAST tools) che aiutino a far emergere difetti e vulnerabilità.
  • SCA – Software Composition Analysis: analisi mediante specifici tool delle vulnerabilità relative alle applicazioni di terze parti e dipendenze varie.
  • SAST – Static Application Security Testing: analisi mediante specifici tool del codice sorgente relativo alle applicazioni, ai servizi ed ai microservizi, per favorire la scoperta di codice insicuro.
  • IAST—Interactive Application Security Testing: analisi del codice sorgente alla scoperta di vulnerabilità mentre l’applicazione è in esecuzione, quindi non interviene nel processo di CI/CD.
  • RASP – Runtime Application Self-Protection: rilevazione e risposta ad attacchi mediante tool specifici che identificano potenziali pericoli dinamicamente analizzando il traffico in ingresso.
  • OWASP – Open Web Application Security Project: progetto non-profit promosso da volontari che ha l’obiettivo di aumentare la sicurezza mediante risorse e tool (alcuni dei quali li abbiamo raccontati in questo articolo).
  • XDR – Extended Detection and Response: monitoraggio ed analisi a vari livelli di tutte le potenziali minacce che garantiscono una scoperta più rapida delle eventuali problematiche.
  • XSS – Cross-Site Scripting: una vulnerabilità di sicurezza presente nella OWASP Top 10 che ancora non è stata rimossa dalla sua iniziale inclusione, nel 2003 (!).
  • SQLi – SQL Injection: sfrutta anomalie nell’esecuzione delle iterazioni dell’applicazione con i database per inserire porzioni di codice malevolo che espongono i sistemi agli attaccanti.
  • CSRF – Cross-Site Request Forgery: diffusa metodologia d’attacco che consente al malintenzionato di sfruttare una sessione si autenticazione tra il browser dell’utente e l’applicazione vera e propria.
  • SAML – Security Assertion Markup Language: standard di archiviazione per la condivisione di informazioni riservate tipicamente implementate mediante Extensible Markup Language (XML) ed utilizzato nei sistemi single sign-on (SSO).

Tutto qui? In verità, ovviamente no, ma per chi ha la memoria corta (io!) avere a portata di mano il significato di questi acronimi ha certamente un suo senso.

Se poi qualcuno volesse approfondire nel dettaglio i vari tool, ecco un altro stupendo articolo di Drew Robb, di eSecurity Planet, che mostra ben ventiquattro tool (!) per effettuare scan ed analisi di sicurezza.

Certo, da lì a capire quali siano i contesti in cui ciascuna di queste entità esistono è un’altra partita, ma è pur sempre un inizio, no?

790f89849d535c46ddf9fb9b8fa033b4?s=150&d=mp&r=g
Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Fonte: https://www.miamammausalinux.org/2023/04/dizionario-devsecops-gli-acronimi-che-un-devop-deve-conoscere-orientarsi-nel-nuovo-mondo/

Visited 3 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.