Sicurezza Shift-Left: i fattori principali da considerare prima di implementarla

Gli esperti di Palo Alto Networks analizzano le criticità dell Sicurezza Shift-Left e offrono consigli su e come agire per evitare falle nei sistemi di sicurezza.

Il termine “Shift-Left” si riferisce al ciclo di vita dello sviluppo del software (SDLC) che descrive le fasi del processo seguito dagli sviluppatori per creare un’applicazione. Spesso è rappresentato come una linea temporale orizzontale, caratterizzata da momenti concettuali e di codifica che “avviano” il ciclo sul lato sinistro. Quindi, spostare un processo all’inizio significa spostarlo a sinistra. La “Shift-Left Security” è il concetto secondo cui misure di sicurezza, aree di interesse e implicazioni dovrebbero avvenire più a sinistra, o prima, rispetto a quanto si fa abitualmente.

Perché la sicurezza Shift-Left è importante nella cybersecurity?

Se da un lato le nuove architetture delle applicazioni offrono a programmatori e team di prodotto incredibile velocità di sviluppo, dall’altro hanno aumentato le sfide in termini di normativa e controllo. La sicurezza deve tenere il passo con la rapida crescita e l’agilità dei cicli di sviluppo ed essere sufficientemente flessibile da supportare un’ampia gamma di soluzioni cloud. L’unico denominatore comune di questi nuovi flussi è il codice alla base di tutto, dall’applicazione all’infrastruttura, che è aperto e riutilizzato dagli sviluppatori. Per questo motivo, portare la sicurezza “a sinistra”, nella fase di codifica, significa prevedere la sicurezza sin dall’inizio, riducendo così il rischio di exploit da parte dei cybercriminali e gli impatti su migliaia di applicazioni.

L’importanza di questa definizione

Come molte parole della cybersecurity, numerosi vendor trattano la sicurezza shift-left come “l’unico elemento necessario per essere protetti”, come se fosse una panacea per tutti i problemi. In realtà, questo concetto ostacola l’approccio Zero Trust, poiché presume fiducia implicita nei confronti dello sviluppatore e delle sue capacità di codifica. Inoltre, mancano comprensione e pratiche standard per lo sviluppo delle applicazioni in un moderno reparto DevOps, in particolare per quanto riguarda la catena di fornitura del codice (pacchetti open source e drift) o gli strumenti di integrazione (Git, CI/CD, ecc.) e questo crea dei rischi. Ad esempio, se l’archivio dati di un’azienda è liberamente accessibile su Internet, e ritiene non sia un problema perché le informazioni sono crittografate, dovrà essere consapevole del fatto che i criminali informatici potranno farne una copia e, successivamente, lavorare per decifrarle

I fattori da considerare quando si adottala sicurezza Shift-Left

Introdurre la Security Shift-Left all’interno di un programma SDLC è una priorità a cui i dirigenti dovrebbero prestare attenzione. La portata pervasiva dei team di sviluppo, che non solo creano applicazioni business-critical, ma ne gestiscono ogni fase, dalla codifica alla compilazione, ai test fino alle esigenze infrastrutturali con codice aggiuntivo, rappresenta un livello di controllo e influenza straordinari. Estendere la sicurezza a tutti i flussi di lavoro dei team di sviluppo è il concetto della sicurezza Shift-Left, ma sarebbe estremamente rischioso abbandonare o screditare le misure di protezione delle fasi successive o “lato destro”. La sicurezza deve essere presente lungo l’intero ciclo di vita, dalla creazione del codice allo staging della distribuzione circostante, fino all’applicazione e all’ambiente che la gestisce.

Ecco alcune domande da porsi per un’adozione della sicurezza Shift-Left di successo:

Come inserire tutte le fasi SDLC nel programma di sicurezza, senza creare un enorme sovraccarico di nuovi strumenti da imparare per ogni livello? Come consentire al team di sviluppo di correggere semplici errori di sicurezza senza ritardare o bloccare la loro capacità di rilasciare applicazioni e aggiornamenti critici?

È necessario integrarsi negli strumenti e nei flussi di lavoro utilizzati dal team di sviluppo per codificare, aggregare, testare e distribuire. Come raggiungere questo risultato rispondendo alle esigenze sopra elencate?

Supponendo che qualcosa venga distribuito in modo non sicuro, come inviare la richiesta di correzione nel flusso di lavoro, includendo automaticamente le modifiche alla codifica?

Esistono piattaforme in grado di gestire la sicurezza Shift-Left, di proteggere l’ambiente di runtime e di alimentare operazioni di security, governance e conformità? I flussi di lavoro degli infrastructure architect sono in grado di fornire visibilità, protezione e livelli di auditing per l’intero panorama applicativo?

Contenuti correlati

• 
  La sicurezza di Sysgo a embedded world

  Sysgo, azienda specializzata nei sistemi embedded critici per sicurezza funzionale (safety) e sicurezza informatica (security), parteciperà a embbedd world 2026 con le sue soluzioni, comprese quelle progettate per soddisfare i requisiti del Cyber Resilience Act (CRA). Lo...
• 
  Securitas adotta la tecnologia di Rohde & Schwarz

  Rohde & Schwarz e Securitas, azienda specializzata in soluzioni di sicurezza, hanno siglato una partnership strategica a lungo termine per un nuovo standard per la sicurezza dei data center. La collaborazione tra le due aziende è incentrata sulla...
• 
  Intelligenza Artificiale Generativa: tra crescita esplosiva e sfide ineludibili per la sicurezza

  Di Umberto Pirovano, Senior Manager Technical Solutions di Palo Alto Networks L’Intelligenza Artificiale Generativa (GenAI) sta ridefinendo il panorama tecnologico e aziendale a una velocità sorprendente. Secondo il report di Palo Alto Networks “The State of Generative...
• 
  Colmare il divario di sicurezza: perché la prevenzione deve essere il nuovo standard per gli ambienti OT

  Di Nicola Altavilla, Director of the Mediterranean Region di Armis Nonostante i crescenti investimenti in OT, il settore manifatturiero italiano rimane esposto ai rischi informatici. Una protezione efficace inizia da una visibilità completa, dal controllo continuo degli...
• 
  Sicurezza del cloud al top senza contrariare gli sviluppatori

  Di Brooke Jameson, senior product marketing manager di CyberArk Preziosi per il progresso e l’evoluzione di qualunque organizzazione, gli sviluppatori devono innovare rapidamente e, al tempo stesso, adeguare le proprie attività quotidiane a requisiti di sicurezza nel...
• 
  Palo Alto Networks acquisirà CyberArk

  È stato siglato un accordo definitivo in base al quale Palo Alto Networks acquisirà CyberArk.  Le aziende sottolineano che questa operazione strategica costituisce l’ingresso formale di Palo Alto Networks nel settore della sicurezza delle identità. Nikesh Arora,...
• 
  Palo Alto Networks: le principali sfide cyber per le aziende europee nel 2025

  Da una nuova ricerca di Palo Alto Networks, condotta da Vitreous World, emerge che due terzi (66%) delle aziende europee considerano le minacce basate su AI come il maggiore rischio cyber nel 2025. Le sfide maggiori per...
• 
  L’anello mancante nella difesa industriale: il ruolo fondamentale della sicurezza OT e per il settore manifatturiero

  Di Giorgio Triolo, Chief Technology Officer di Axitea Da sempre, il settore manifatturiero italiano è un solido pilastro dell’economia nazionale. Anche per questo, è sempre più spesso nel mirino dei cybercriminali. La gravità della situazione è inequivocabile:...
• 
  Report sulla sicurezza OT e IoT dai Nozomi Networks Labs

  Dai dati del recente report sulla sicurezza OT e IoT dei Nozomi Networks Labs emerge una protezione delle reti wireless non adeguata alle necessità, un problema che ha permesso, nella seconda metà dello scorso anno, di registrare...
• 
  DeepSeek: il commento di ESET

  Le performance di DeepSeek hanno scosso il settore dell’IA, con diverse ripercussioni sui mercati. La startup cinese infatti ha rilasciato modelli di intelligenza artificiale affermando che possono competere con quelli delle principali aziende statunitensi, ma a costi...