DevOps e DevSecOps

Il DevOps è un insieme di processi e tecnologie che permette di automatizzare il ciclo di vita del software dalla fase di sviluppo a quella di test e deploy.

Organizzare il processo di sviluppo e produzione secondo questa metodologia porta i developer a scrivere piccoli parti di software, integrate tra loro, testate, monitorate e rilasciate anche in poche ore, invece di passare settimane a scrivere e testare grandi parti di software. Il DevOps è la metodologia ideale in contesti enterprise e con architetture complesse e a microservizi.

Esistono diversi tools di Continuous Integration (CI) e Delivery/Deployment (CD) che definiscono pipelines (o paradigmi di distribuzione) il cui compito, tramite eventi triggerati, è quello di scatenare flussi di automazione per la build delle applicazioni, test e check di integrazione, rilascio di codice convalidato nei repository, deploy in svariati formati, integrazione con sistemi di change request.

Non solo sviluppo e deploy, il concetto di DevOps ha inglobato anche gli aspetti legati alla sicurezza: da qui nasce il DevSecOps!

Il DevOps e il DevSecOps condividono la metodologia, gli obiettivi e molti strumenti, ma con il DevSecOps gli sviluppatori possono garantire la sicurezza by design del software. Durante tutto il ciclo di development, il codice viene revisionato e testato e se sono presenti problemi lato sicurezza, questi vengono rilevati e risolti prima di passare alla fase successiva e prima di aggiungere nuove dipendenze.

DevSecOps significa spostare nelle prime fasi l’attenzione sugli aspetti legati alla sicurezza: per questo motivo, a questo termine è spesso abbinato il concetto di “Shift left”, ossia la strategia di spostare la fase di test nei primi step (su una linea retta, idealmente, verso sinistra).