1 
2Una vulnerabilita trovata mentre si scrive codice costa a uno sviluppatore pochi minuti per essere corretta. La stessa vulnerabilita individuata in produzione costa uno sprint. E se un attaccante la trova per primo, costa milioni. Questo e l'argomento centrale della **shift-left security**  -  spostare i controlli di sicurezza il prima possibile nel ciclo di vita dello sviluppo.
3 
4Il DevSecOps prende questa idea e la trasforma in una pratica: la sicurezza non e una fase separata alla fine, ma un processo continuo integrato in ogni fase dello sviluppo, dalla prima riga di codice al deploy in produzione.
5 
6## Il costo della sicurezza tardiva
7 
8Il report Cost of a Data Breach di IBM ha costantemente dimostrato che il costo per risolvere i problemi di sicurezza cresce esponenzialmente quanto piu tardi vengono individuati:
9 
10| Fase | Costo di correzione | Tempo di correzione |
11|------|---------------------|---------------------|
12| **IDE / Sviluppo locale** | Minuti | Secondi o minuti |
13| **Code review / PR** | Ore | Minuti o ore |
14| **Pipeline CI/CD** | Giorni | Ore o giorni |
15| **Staging / QA** | Settimane | Giorni |
16| **Produzione** | Mesi | Settimane o mesi |
17| **Post-breach** | Milioni ($) | Mesi o anni |
18 
19La conclusione e chiara: ogni fase in cui anticipi la sicurezza fa risparmiare un ordine di grandezza in costi e tempo.
20 
21## La pipeline DevSecOps
22 
23Una pipeline DevSecOps matura integra controlli di sicurezza in ogni fase:
24 
25```mermaid
26graph LR
27    IDE[IDE / Editor] --> PC[Pre-commit Hooks]
28    PC --> PR[Pull Request]
29    PR --> CI[CI Pipeline]
30    CI --> Build[Build / Package]
31    Build --> Deploy[Deploy]
32    Deploy --> Runtime[Runtime / Production]
33 
34    IDE -.- S1[SAST\nSecret Detection\nLinting]
35    PC -.- S2[Secrets Scan\nFormat Check]
36    PR -.- S3[Code Review\nDependency Audit]
37    CI -.- S4[SAST\nSCA\nContainer Scan\nSBOM]
38    Build -.- S5[Image Signing\nArtifact Verification]
39    Deploy -.- S6[Policy Enforcement\nAdmission Control]
40    Runtime -.- S7[DAST\nWAF\nMonitoring]
41```
42 
43Analizziamo ogni fase con strumenti e configurazioni concreti.
44 
45## Fase 1: sicurezza nell'IDE
46 
47Il ciclo di feedback piu rapido. Individua le vulnerabilita prima ancora di salvare il file.
48 
49### Strumenti consigliati
50 
51- **Semgrep**: analisi statica leggera con regole della community per le vulnerabilita OWASP
52- **Snyk IDE Extension**: scansione in tempo reale delle vulnerabilita delle dipendenze
53- **GitLens + GitLeaks**: rileva i secret nel tuo editor
54- **ESLint Security Plugins**: `eslint-plugin-security` per Node.js, `eslint-plugin-no-unsanitized` per DOM XSS
55 
56### Esempio: configurazione ESLint per la sicurezza
57 
58```json
59{
60  "extends": ["eslint:recommended"],
61  "plugins": ["security", "no-unsanitized"],
62  "rules": {
63    "security/detect-object-injection": "warn",
64    "security/detect-non-literal-regexp": "warn",
65    "security/detect-unsafe-regex": "error",
66    "security/detect-buffer-noassert": "error",
67    "security/detect-eval-with-expression": "error",
68    "security/detect-no-csrf-before-method-override": "error",
69    "security/detect-possible-timing-attacks": "warn",
70    "no-unsanitized/method": "error",
71    "no-unsanitized/property": "error"
72  }
73}
74```
75 
76## Fase 2: Pre-commit Hooks
77 
78La seconda linea di difesa. Si eseguono automaticamente prima di ogni commit, bloccando il codice pericoloso dall'entrare nel repository.
79 
80### Gitleaks: intercetta i secret prima che finiscano in Git
81 
82L'errore di sicurezza piu comune nei codebase e il commit di secret  -  chiavi API, password di database, token. Una volta che un secret finisce nella cronologia di git, e estremamente difficile rimuoverlo completamente (anche con i force push, fork e cache potrebbero conservarlo).
83 
84```yaml
85# .pre-commit-config.yaml
86repos:
87  - repo: https://github.com/gitleaks/gitleaks
88    rev: v8.21.0
89    hooks:
90      - id: gitleaks
91 
92  - repo: https://github.com/semgrep/semgrep
93    rev: v1.90.0
94    hooks:
95      - id: semgrep
96        args: ['--config', 'auto']
97```
98 
99Installa e attiva:
100 
101```bash
102pip install pre-commit
103pre-commit install
104```
105 
106Ora ogni `git commit` scansiona automaticamente alla ricerca di secret trapelati e vulnerabilita comuni. Se viene trovato qualcosa, il commit viene bloccato.
107 
108### Regole Gitleaks personalizzate
109 
110Puoi aggiungere pattern personalizzati per i secret della tua organizzazione:
111 
112```toml
113# .gitleaks.toml
114title = "Custom Gitleaks Config"
115 
116[[rules]]
117id = "internal-api-key"
118description = "Internal API key detected"
119regex = '''INTERNAL_KEY_[A-Za-z0-9]{32}'''
120tags = ["key", "internal"]
121```
122 
123## Fase 3: sicurezza della pipeline CI/CD
124 
125Qui avviene il lavoro pesante. La tua pipeline CI dovrebbe eseguire piu scansioni di sicurezza su ogni pull request.
126 
127### SAST (Static Application Security Testing)
128 
129Gli strumenti SAST analizzano il codice sorgente senza eseguirlo, cercando pattern che indicano vulnerabilita.
130 
131```yaml
132# .github/workflows/security.yml
133name: Security Scan
134on:
135  pull_request:
136    branches: [main]
137 
138jobs:
139  sast:
140    name: Static Analysis
141    runs-on: ubuntu-latest
142    steps:
143      - uses: actions/checkout@v4
144 
145      - name: Run Semgrep
146        uses: semgrep/semgrep-action@v1
147        with:
148          config: >-
149            p/owasp-top-ten
150            p/typescript
151            p/nodejs
152            p/react
153          generateSarif: true
154 
155      - name: Upload SARIF
156        uses: github/codeql-action/upload-sarif@v3
157        with:
158          sarif_file: semgrep.sarif
159```
160 
161Il ruleset `p/owasp-top-ten` di Semgrep intercetta le vulnerabilita piu comuni: SQL injection, XSS, SSRF, path traversal, deserializzazione non sicura e altro.
162 
163### SCA (Software Composition Analysis)
164 
165L'SCA scansiona le tue dipendenze alla ricerca di vulnerabilita note. Questo e fondamentale  -  oltre l'80% del codice delle applicazioni moderne proviene da dipendenze open-source.
166 
167```yaml
168  dependency-scan:
169    name: Dependency Audit
170    runs-on: ubuntu-latest
171    steps:
172      - uses: actions/checkout@v4
173 
174      - name: Run Snyk
175        uses: snyk/actions/node@master
176        env:
177          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
178        with:
179          args: --severity-threshold=high
180 
181      - name: npm audit
182        run: npm audit --audit-level=high
183```
184 
185### Sicurezza dei container con Trivy
186 
187Se costruisci immagini Docker, scansionarle alla ricerca di vulnerabilita e essenziale. **Trivy** e lo scanner di container open-source piu popolare.
188 
189```yaml
190  container-scan:
191    name: Container Security
192    runs-on: ubuntu-latest
193    steps:
194      - uses: actions/checkout@v4
195 
196      - name: Build image
197        run: docker build -t my-app:${{ github.sha }} .
198 
199      - name: Run Trivy
200        uses: aquasecurity/trivy-action@master
201        with:
202          image-ref: my-app:${{ github.sha }}
203          format: 'sarif'
204          output: 'trivy-results.sarif'
205          severity: 'CRITICAL,HIGH'
206          exit-code: '1'
207 
208      - name: Upload Trivy SARIF
209        uses: github/codeql-action/upload-sarif@v3
210        with:
211          sarif_file: trivy-results.sarif
212```
213 
214### Generazione SBOM
215 
216Una **Software Bill of Materials (SBOM)** e un inventario completo di ogni componente nella tua applicazione. E sempre piu richiesta dai framework di conformita e dalle normative governative (l'Executive Order statunitense sulla Cybersecurity impone la SBOM per il software federale).
217 
218```yaml
219  sbom:
220    name: Generate SBOM
221    runs-on: ubuntu-latest
222    steps:
223      - uses: actions/checkout@v4
224 
225      - name: Generate SBOM with Syft
226        uses: anchore/sbom-action@v0
227        with:
228          format: spdx-json
229          output-file: sbom.spdx.json
230 
231      - name: Upload SBOM
232        uses: actions/upload-artifact@v4
233        with:
234          name: sbom
235          path: sbom.spdx.json
236```
237 
238## Fase 4: immagini Docker sicure
239 
240Un'immagine Docker di produzione dovrebbe seguire il principio del minimo privilegio. Ecco come appare un Dockerfile rafforzato:
241 
242```dockerfile
243# Build stage
244FROM node:22-alpine AS builder
245WORKDIR /app
246COPY package.json package-lock.json ./
247RUN npm ci
248COPY . .
249RUN npm run build
250 
251# Production stage
252FROM node:22-alpine AS runner
253WORKDIR /app
254 
255# Install dumb-init before dropping root
256RUN apk add --no-cache dumb-init
257 
258# Don't run as root
259RUN addgroup -S app && adduser -S app -G app
260 
261# Copy only what's needed
262COPY --from=builder --chown=app:app /app/dist ./dist
263COPY --from=builder --chown=app:app /app/node_modules ./node_modules
264COPY --from=builder --chown=app:app /app/package.json ./
265 
266# Drop to non-root user
267USER app
268ENTRYPOINT ["dumb-init", "--"]
269 
270# Health check
271HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
272  CMD wget -qO- http://localhost:3000/health || exit 1
273 
274EXPOSE 3000
275CMD ["node", "dist/server.js"]
276```
277 
278Pratiche chiave:
279 
2801. **Usa build multi-stage**: lo stage builder ha le dipendenze di sviluppo; lo stage runner ha solo il codice di produzione
2812. **Non eseguire come root**: crea un utente non-root e passa a quello
2823. **Usa immagini Alpine**: superficie di attacco ridotta (meno pacchetti installati di default)
2834. **Fissa le versioni delle immagini**: `node:22-alpine` invece di `node:latest` per evitare attacchi alla supply chain
2845. **Usa `npm ci`**: installazioni deterministiche dal lock file, non `npm install`
285 
286## Fase 5: gestione dei secret
287 
288I secret hard-coded sono la causa numero uno delle violazioni negli incidenti causati dagli sviluppatori.
289 
290### Cosa NON fare
291 
292```typescript
293// NEVER do this
294const API_KEY = "sk-1234567890abcdef";
295const DB_PASSWORD = "supersecret123";
296 
297const client = new Client({
298  connectionString: `postgres://admin:${DB_PASSWORD}@db.example.com/prod`
299});
300```
301 
302### Cosa fare invece
303 
304```typescript
305// Use environment variables
306const client = new Client({
307  connectionString: process.env.DATABASE_URL
308});
309 
310// Or use a secret manager
311import { SecretManagerServiceClient } from '@google-cloud/secret-manager';
312 
313const client = new SecretManagerServiceClient();
314const [version] = await client.accessSecretVersion({
315  name: 'projects/my-project/secrets/db-password/versions/latest',
316});
317const dbPassword = version.payload?.data?.toString();
318```
319 
320### Gerarchia della gestione dei secret
321 
322```mermaid
323graph TD
324    A[Secret Manager\nAWS Secrets Manager\nGCP Secret Manager\nHashiCorp Vault] --> B[Best: Rotated, audited, centralized]
325    C[Environment Variables\nInjected at deploy time] --> D[Good: Not in code, but static]
326    E[.env files\nWith .gitignore] --> F[Acceptable: Local development only]
327    G[Hard-coded in source] --> H[NEVER: Instant breach risk]
328 
329    style A fill:#d4edda
330    style C fill:#fff3cd
331    style E fill:#ffeeba
332    style G fill:#f8d7da
333```
334 
335## L'OWASP Top 10: un riferimento rapido
336 
337Ogni sviluppatore dovrebbe conoscere l'OWASP Top 10. Versione sintetica:
338 
339| # | Vulnerabilita | Cos'e | Prevenzione |
340|---|---------------|-------|-------------|
341| 1 | **Broken Access Control** | Utenti che accedono a risorse non autorizzate | Nega per default, valida lato server |
342| 2 | **Cryptographic Failures** | Crittografia debole, dati in chiaro | Usa algoritmi robusti (AES-256, bcrypt), TLS ovunque |
343| 3 | **Injection** | SQL, NoSQL, OS command injection | Query parametrizzate, validazione degli input |
344| 4 | **Insecure Design** | Architettura con difetti | Threat modeling, secure design patterns |
345| 5 | **Security Misconfiguration** | Credenziali di default, bucket cloud aperti | Default rafforzati, audit automatici della configurazione |
346| 6 | **Vulnerable Components** | CVE note nelle dipendenze | Scansione SCA, aggiornamenti regolari |
347| 7 | **Auth Failures** | Password deboli, sessioni compromesse | MFA, rate limiting, gestione sicura delle sessioni |
348| 8 | **Data Integrity Failures** | Aggiornamenti non firmati, CI/CD non affidabile | Code signing, SBOM, integrita della pipeline |
349| 9 | **Logging Failures** | Nessuna traccia di audit | Logging strutturato, alerting sulle anomalie |
350| 10 | **SSRF** | Server-side request forgery | Allowlist degli URL in uscita, validazione degli input |
351 
352## Workflow completo di sicurezza con GitHub Actions
353 
354Un workflow completo e pronto per la produzione che combina tutto quanto sopra:
355 
356```yaml
357# .github/workflows/security.yml
358name: Security Pipeline
359on:
360  pull_request:
361    branches: [main]
362  push:
363    branches: [main]
364 
365permissions:
366  contents: read
367  security-events: write
368 
369jobs:
370  secrets-scan:
371    name: Secret Detection
372    runs-on: ubuntu-latest
373    steps:
374      - uses: actions/checkout@v4
375        with:
376          fetch-depth: 0
377      - uses: gitleaks/gitleaks-action@v2
378        env:
379          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
380 
381  sast:
382    name: Static Analysis (SAST)
383    runs-on: ubuntu-latest
384    steps:
385      - uses: actions/checkout@v4
386      - uses: semgrep/semgrep-action@v1
387        with:
388          config: p/owasp-top-ten p/typescript p/nodejs
389 
390  dependency-audit:
391    name: Dependency Scan (SCA)
392    runs-on: ubuntu-latest
393    steps:
394      - uses: actions/checkout@v4
395      - uses: actions/setup-node@v4
396        with:
397          node-version: 22
398      - run: npm ci
399      - run: npm audit --audit-level=high
400      - uses: snyk/actions/node@master
401        env:
402          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
403        with:
404          args: --severity-threshold=high
405        continue-on-error: true
406 
407  container-scan:
408    name: Container Scan
409    runs-on: ubuntu-latest
410    needs: [sast, dependency-audit]
411    steps:
412      - uses: actions/checkout@v4
413      - run: docker build -t app:${{ github.sha }} .
414      - uses: aquasecurity/trivy-action@master
415        with:
416          image-ref: app:${{ github.sha }}
417          severity: CRITICAL,HIGH
418          exit-code: '1'
419 
420  sbom:
421    name: SBOM Generation
422    runs-on: ubuntu-latest
423    needs: [container-scan]
424    steps:
425      - uses: actions/checkout@v4
426      - uses: anchore/sbom-action@v0
427        with:
428          format: spdx-json
429          output-file: sbom.spdx.json
430```
431 
432```mermaid
433graph TD
434    PR[Pull Request] --> S1[Secret Detection]
435    PR --> S2[SAST - Semgrep]
436    PR --> S3[SCA - Snyk + npm audit]
437    S2 --> S4[Container Scan - Trivy]
438    S3 --> S4
439    S4 --> S5[SBOM Generation]
440    S5 --> Deploy[Deploy]
441 
442    S1 -.- F1[Block if secrets found]
443    S2 -.- F2[Block on critical vulns]
444    S3 -.- F3[Block on high severity]
445    S4 -.- F4[Block on critical CVEs]
446```
447 
448## Metriche da monitorare
449 
450Come sapere se il tuo programma DevSecOps funziona? Monitora queste metriche:
451 
452- **Mean time to remediate (MTTR)**: quanto velocemente correggi le vulnerabilita dopo il rilevamento
453- **Vulnerability escape rate**: percentuale di vulnerabilita che raggiungono la produzione
454- **False positive rate**: troppi falsi positivi portano ad affaticamento da alert e avvisi ignorati
455- **Dependency freshness**: eta media delle tue dipendenze (piu vecchie = piu probabilita di CVE note)
456- **SBOM coverage**: percentuale di progetti con SBOM aggiornate
457 
458## Per iniziare: una roadmap pratica
459 
460Non provare a implementare tutto in una volta. Un approccio graduale funziona meglio:
461 
462```mermaid
463flowchart TD
464    A[Week 1-2: Foundations] --> B[Week 3-4: CI/CD Integration]
465    B --> C[Month 2: Container Security]
466    C --> D[Month 3+: Advanced]
467 
468    A --> A1[Add Gitleaks pre-commit hooks]
469    A --> A2[Enable npm audit in CI]
470    A --> A3[Add .gitignore for .env files]
471 
472    B --> B1[Add Semgrep to GitHub Actions]
473    B --> B2[Add Snyk dependency scanning]
474    B --> B3[Set up SARIF upload to GitHub]
475 
476    C --> C1[Add Trivy container scanning]
477    C --> C2[Harden Dockerfiles]
478    C --> C3[Generate SBOMs]
479 
480    D --> D1[Secret manager integration]
481    D --> D2[Runtime protection - DAST]
482    D --> D3[Policy as code - OPA]
483```
484 
485## Conclusione
486 
487Il DevSecOps non consiste nell'aggiungere piu strumenti alla tua pipeline  -  si tratta di rendere la sicurezza una parte naturale del modo in cui costruisci il software. L'obiettivo non e bloccare ogni PR con avvisi di sicurezza, ma dare agli sviluppatori un feedback rapido cosi che possano correggere i problemi mentre il codice e ancora fresco nella loro mente.
488 
489Inizia con le basi: pre-commit hooks per i secret, dependency scanning nella CI e container scanning per le immagini Docker. Poi itera in base alle esigenze del tuo team.
490 
491La sicurezza non e una funzionalita che rilasci una sola volta. E una pratica che integri in ogni commit.
492 
493> **Checklist iniziale DevSecOps:**
494>
495> - [x] Pre-commit hooks Gitleaks installati
496> - [x] File .env e secret nel .gitignore
497> - [x] Semgrep SAST nella pipeline CI
498> - [x] Snyk o npm audit per il dependency scanning
499> - [x] Trivy per la scansione delle immagini container
500> - [x] Utente non-root nei Dockerfile
501> - [x] Secret nelle variabili d'ambiente o nel secret manager
502> - [x] Generazione SBOM a ogni release
503> - [x] Consapevolezza dell'OWASP Top 10 in tutto il team
504