Scheda n°3: Sviluppa in un ambiente sicuro

Valuta i tuoi rischi e adotta misure di sicurezza appropriate

Valuta i rischi degli strumenti e dei processi che usi per lo sviluppo. Fai un inventario delle misure di sicurezza esistenti e definisci un piano d’azione per migliorare la tua copertura dai rischi. Incarica una persona come responsabile della sua implementazione.
Considera i rischi per tutti gli strumenti che usi, inclusi gli strumenti SaaS (Software as a Service) e gli strumenti collaborativi in cloud (come Slack, Trello, GitHub, ecc.).

Una lista di raccomandazioni riguardo alla sicurezza di server, workstation e reti interne sono disponibili nelle schede dal n° 5 all’8 della Guida alla Sicurezza dei dati personali della CNIL.
Redigi un documento che elenchi le misure di sicurezza e ne spieghi la configurazione, per assicurare che le misure di sicurezza siano implementate uniformemente sia sui server che sulle workstation. Per ridurre il carico di lavoro, puoi usare strumenti di configuration management come Ansible, Puppet oChef.
Aggiorna sempre server e workstation, se possibile in modo automatico. Puoi definire una watchlist delle vulnerabilità più importanti, per esempio gli NVD Data Feed del NIST.

Ricordati di documentare la gestione delle tue chiavi SSH (uso di algoritmi di crittografia e lunghezze delle chiavi allo stato dell’arte, protezioni delle frasi con una password, rotazione delle chiavi). Per esempi di buone pratiche, vedi il documento sull’uso siduro di (open)SSH.
Incoraggia l’autenticazione forte nei servizi usati dal team di sviluppo.
Traccia gli accessi alle macchine e, se possibile, implementa una analisi automatica dei log. Per poter raccogliere tracce affidabili, occorre evitare l’uso di account generici.