Da Red Hat arriva il report The State of Kubernetes Security 2023, che analizza i rischi specifici per la sicurezza che le aziende devono affrontare per quanto riguarda lo sviluppo cloud-native, compresi quelli relativi alla supply chain del software, e fornisce indicazioni su come mitigarli per proteggere le applicazioni e gli ambienti IT.

Il rapporto si basa su un sondaggio condotto su 600 tra professionisti DevOps, ingegneri e professionisti della sicurezza di tutto il mondo, e mette in luce alcune delle sfide di sicurezza più comuni che le organizzazioni devono affrontare nel percorso per diventare cloud-native e l’impatto di tali sfide sul business. Il report illustra inoltre alcune best practice e fornisce indicazioni per i team di sviluppatori e di security per ridurre i rischi per la sicurezza.

Tra le principali evidenze di quest'anno, emerge che il 38% degli intervistati dichiara che gli investimenti sulla security per le operations containerizzate sono inadeguati, un dato in aumento del 7% rispetto al 2022; il 67% degli intervistati ha dovuto rallentare il passaggio al cloud-native a causa di problemi di sicurezza; e infine, negli ultimi 12 mesi, più della metà degli intervistati ha riscontrato problemi legati alla supply chain del software e relativi allo sviluppo cloud-native e containerizzato.

Negli ultimi anni la security resta una delle maggiori preoccupazioni per l'adozione dei container. Il sondaggio di quest'anno non ha smentito questo assunto, con il 38% degli intervistati che ha dichiarato che la security non ha ancora acquisito la priorità corretta o che gli investimenti per la sicurezza sono inadeguati, in aumento del 7% rispetto all'anno scorso. L'aspetto interessante è che i tassi di adozione continuano a crescere, ma questa crescita non è sempre seguita da un incremento in parallelo degli investimenti in sicurezza.

Le soluzioni cloud-native richiedono soluzioni di sicurezza cloud-native, che spesso possono (e devono) includere un approccio DevSecOps. I team IT devono concentrarsi sulla selezione e sull'implementazione di strumenti di sicurezza che forniscano feedback e guardrail nella pipeline delle applicazioni CI/CD e in quella dell'infrastruttura. Questa transizione deve essere considerata parte integrante delle iniziative di trasformazione delle imprese e deve essere pianificata di conseguenza, non limitandosi ad affidarsi semplicemente alle soluzioni esistenti, che spesso richiedono un adattamento o una modifica sostanziale per soddisfare i requisiti stringenti del cloud-native computing.

Uno dei modi migliori per superare il divario tra investimenti e adozione è investire in strumenti cloud-native che incorporino nativamente la security, anziché trattarla come una componente aggiuntiva. Con la sicurezza integrata nella soluzione, dalle basi del sistema operativo fino al livello dell'applicazione, le organizzazioni non saranno costrette a ulteriori investimenti per adottare costantemente nuove soluzioni di security allineate alle ultime tecnologie.

La buona notizia è che molte organizzazioni stanno facendo passi avanti verso una migliore protezione delle loro catene di fornitura del software. Sebbene la sicurezza della supply chain software sia un campo complesso e sfaccettato, un approccio DevSecOps completo rappresenta una delle strategie più efficaci. Quasi la metà degli intervistati ha un'iniziativa DevSecOps in fase avanzata. Un altro 39% comprende il valore di DevSecOps e si trova nella fase iniziale di adozione.

Inoltre, concentrandosi sulla sicurezza dei componenti e delle dipendenze del software fin dalle prime fasi del ciclo di vita dello sviluppo e utilizzando le pratiche DevSecOps per automatizzare l'integrazione della sicurezza in ogni fase, le organizzazioni sono in grado di passare da processi manuali incoerenti a operazioni coerenti, ripetibili e automatizzate.