Ciao a tutti.
Sto cercando di ottimizzare la spesa per i tool di sicurezza in una
catena CI-CD. Le migliori soluzioni commerciali sono efficaci e semplici
da usare, ma tutte insieme costano diverse migliaia di euro per
sviluppatore. Siccome si tratta di soldi pubblici vorrei provare a
risparmiare qualcosa.
Per caso qualcuno può suggerirmi come ottimizzare qualcuno di questi punti?
1. Tool SAST economico/i con supporto per diversi backend, pochi falsi
positivi e buona integrazione con GitLab / Jenkins
2. Tool DAST economico che gestisca anche web service (Acunetix costa
troppo, BurpSuite Enterprise sembra immaturo, Nessus per il web non
va granché bene, ZAP non trova molto)
3. Tool di gestione credenziali economico. Pensavo alla versione open
di Vault che non ha la funzione "disaster recovery", ma mi vengono i
brividi immaginando un downtime dei tutta la infrastruttura
produzione compresa. I backup sono sufficienti?
4. Rapporto costi/benefici del software open source in ambito CI-CD in
generale (considerati costi, funzionalità, supporto e soprattutto
necessità di operatori skillati)
5. Consigli x integrazione web assessment manuali nella infrastruttura
di CI-CD (es. se il team di test può farsi self-provisioning di
ambienti di staging da solo, per evitare di coinvolgere ogni volta
gli sviluppatori)
6. Consigli in generale su tool di security da integrare in CI-CD che
siano buoni ed economici
Spero che quanto scrivo non sia soltanto una spudorata richiesta di
aiuto ma che fornisca anche spunti interessanti ad altri.
Grazie in anticipo, un cordiale saluto.
--
ED
