Tra le aree a cui le aziende dedicheranno la propria attenzione il prossimo anno, la supply chain security rappresenta un focus fondamentale che le organizzazioni affronteranno continuando almeno in parte ad applicare nuove logiche di “shift left”. Storicamente, questo processo ruotava intorno all’analisi delle vulnerabilità, ma quest’ultima, se realizzata solo internamente alla propria struttura, non è davvero sufficiente: le organizzazioni hanno bisogno di proteggere la loro catena di approvvigionamento dalle intrusioni e, perché questo si realizzi, vedremo investimenti significativi nell’adozione di nuove tecnologie di pipeline, come le catene CD Tekton e Sigstore pensate per rendere più facile aggiungere il signing alla pipeline.
Alla stessa stregua, cominceremo a notare un cambiamento nel modo in cui le organizzazioni controllano le applicazioni al momento della loro implementazione. Questo avviene già oggi con un passaggio a un approccio più semplice nello stesso Kubernetes, chiamato out-of-tree control, ma continueremo a vedere, nella supply chain security, anche una crescita del policy-based deployment management attraverso strumenti come OPA Gatekeeper, Kyverno e Argo CD, e compariranno inediti policy engine.
Inoltre, ci sarà maggiore interesse per i software bill of material (SBOM). Se esistono da tempo proposte di standard per l’erogazione di SBOM, le preoccupazioni legate alla supply chain security hanno raggiunto il punto in cui le organizzazioni avranno bisogno di capire come produrre un SBOM. Prevediamo nascerà un dibattito di settore sul confronto tra le informazioni BOM e quelle più dinamiche come i dati sulle vulnerabilità, in cui il pacchetto non è cambiato ma le vulnerabilità a esso associate sì. In quest’ottica, l’automazione intorno ai SBOM e ai relativi metadati dei pacchetti sta per esplodere.
Le distribuzioni di Kubernetes inizieranno ad aggiungere capacità di supply chain security direttamente nelle loro implementazioni, migliorando la sicurezza generale della distribuzione e riducendone il costo.
di Kirsten Newcomer, director, cloud and DevSecOps strategy di Red Hat
