L’accelerazione dei progetti di trasformazione digitale richiede alle aziende di velocizzare i rilasci applicativi e gli aggiornamenti software. Un aspetto, questo, che da una parte mette gli sviluppatori e i Cio sotto pressione, e dall’altra può impattare in modo significativo e rischioso sulla sicurezza. Il cloud computing, e la scelta di diversi cloud per sfruttarne tutte le potenzialità, richiedono infatti ancora la convivenza di approcci non uniformi (per esempio tra applicazioni che hanno bisogno di macchine virtuali e quelle containerizzate) e questo incrementa le difficoltà nel mantenere alta l’affidabilità e la sicurezza del software.
Lo confermano i dati dell’ultimo report Dynatrace, Global Cio Report 2023, Observability and Security Convergence: Enabling Faster, More Secure Innovation in the Cloud.
Basato sulle risposte di circa 1.300 Cio e senior DevOps manager di aziende con oltre mille dipendenti (con la presenza di 100 Cio italiani) e condotto da Coleman Parkes, il report rivela le difficoltà di mantenere elevata l’affidabilità e la sicurezza del software per la richiesta di cicli di rilascio continui e la crescente complessità degli ambienti cloud, con le relative correlazioni sui possibili incrementi di rischio per difetti e vulnerabilità non rilevati prima dell’effettiva entrata in produzione dei progetti.

Bernd Greifeneder, founder e Cto, Dynatrace

Così mette a fuoco il tema Bernd Greifeneder, fondatore e Cto di Dynatrace: “È difficile per i team accelerare il ritmo dell’innovazione e allo stesso tempo mantenere i più alti standard di qualità e sicurezza. La distribuzione di software più frequente, combinata con architetture cloud-native complesse, incrementa la possibilità di lasciarsi sfuggire errori e vulnerabilità in produzione, con un impatto sull’esperienza del cliente e creando dei rischi”. Una questione molto “pratica”, perché i team non hanno il tempo che serve per il testing del codice e delle diverse componenti “preconfezionate” cui si attinge per risparmiare tempo di sviluppo. 

Non si tratta di un problema senza vie di uscita. Cio e senior DevOps guardano con favore ai processi DevSecOps ed alla metodologia agile. Si tratta di puntare su osservabilità e sicurezza sfruttando l’intelligenza artificiale e l’automazione come ausilii strategici per puntare sull’affidabilità.
Vediamo i numeri nell’immediato confronto tra dati globali e realtà italiana. Nove Cio su dieci (ma il 99% in Italia), concordano nel riferire sull’accelerazione digitale, in particolare negli ultimi 12 mesi, mentre circa tre aziende su quattro (in percentuale di fatto omogenea anche per l’Italia) rilasciano aggiornamenti in produzione ogni 12 ore mentre addirittura ogni due ore il 54% a livello globale ed il 44% in Italia.

Tra gli sviluppatori delle aziende italiane però circa un quarto del tempo viene impiegato proprio in quelle attività manuali necessarie per individuare problemi di qualità o vulnerabilità ed in un caso su due poi si sceglie di scendere a compromessi tra qualità e sicurezza, per stare nei tempi. E’ evidente come questo si rifletta sia poi nell’esperienza finale anche degli utenti, sia in problemi reali di sicurezza. Anche per questo il 76% dei Cio italiani pensa che sia fondamentale lavorare per una cultura DevSecOps con l’83% convinto che l’aumento dell’uso di AIOps sarà la chiave per estendere queste pratiche.
La scalabilità mal si concilia con un approccio manuale e non ci si può più permettere di inseguire falsi positivi ‘a mano’ cercando di individuare una vulnerabilità ogni volta che viene lanciato l’allarme su una nuova minaccia, tantomeno è possibile condurre analisi forensi per capire se i dati sono stati compromessi.

Barriere all'adozione di DevSecOps
Barriere all’adozione di DevSecOps (fonte: Dynatrace Global Cio Report, 2023)

I team devono invece lavorare insieme per promuovere un’innovazione rapida e sicura. “Automazione e moderne pratiche di delivery, come DevSecOpsprosegue Greifenedersono fondamentali a questo scopo, ma ci si deve poter fidare del fatto che l’AI stia giungendo alle giuste conclusioni sugli impatti, in termini di rischio, correlati a una particolare vulnerabilità”. Serve quindi una piattaforma unificata in grado di far convergere i dati di osservabilità e sicurezza. In questo modo è più facile “ottenere gli insight di cui si ha bisogno grazie all’AI causale e sfruttare l’automazione intelligente per fornire rapidamente applicazioni sicure e che soddisfino gli utenti”.

Ecco quindi i numeri relativi a progetti, intenzioni e investimenti. Le aziende prevedono di incrementare i budget per l’automazione tra sviluppo, sicurezza e operazioni del 35% entro il 2024, vogliono investire nel test continuo della qualità del software in oltre un caso su due (ma appena in uno su tre in Italia) in produzione, nel rilevamento e blocco automatico delle vulnerabilità (nel 44% dei casi in Italia) e nell’automazione della convalida dei rilasci (un’azienda su quattro in Italia). Prima di automatizzare in modo consistente le pipeline CI/CD, il 64% dei Cio italiani vuole però anche migliorare la fiducia nell’accuratezza delle decisioni dell’AI. Praticamente la totalità del campione dei Cio italiani afferma che l’estensione della cultura DevSecOps tra i team sia fondamentale per accelerare la trasformazione digitale e per ottenere rilasci di software più rapidi e sicuri.

Investimenti in automazione
Come crescono gli investimenti in automazione (fonte: Dynatrace Global Cio Report, 2023)

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE