[{"data":1,"prerenderedAt":473},["ShallowReactive",2],{"/it-it/the-source/authors/josh-lemos/":3,"footer-it-it":34,"the-source-banner-it-it":342,"the-source-navigation-it-it":354,"the-source-newsletter-it-it":381,"josh-lemos-articles-list-authors-it-it":393,"josh-lemos-articles-list-it-it":423,"josh-lemos-page-categories-it-it":472},{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":8,"seo":10,"content":12,"type":26,"slug":27,"_id":28,"_type":29,"title":11,"_source":30,"_file":31,"_stem":32,"_extension":33},"/it-it/the-source/authors/josh-lemos","authors",false,"",{"layout":9},"the-source",{"title":11},"Josh Lemos",[13,24],{"componentName":14,"componentContent":15},"TheSourceAuthorHero",{"config":16,"name":11,"role":19,"bio":20,"headshot":21},{"gitlabHandle":17,"linkedInProfileUrl":18},"joshlemos","https://www.linkedin.com/in/joshlemos/","Chief Information Security Officer","Con venti anni di esperienza alla guida di team di sicurezza delle informazioni, Josh Lemos è il Chief Information Security Officer di GitLab Inc. Il suo compito è definire e portare avanti la visione, le strategie e i programmi dell'azienda per fare in modo che le risorse e le tecnologie informative siano salvaguardate nel migliore dei modi, rafforzando la piattaforma DevSecOps di GitLab e offrendo ai clienti il massimo livello di sicurezza.",{"altText":11,"config":22},{"src":23},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463405/f4rqtiecakrekvxfhqar.jpg",{"componentName":25},"TheSourceArticlesList","author","josh-lemos","content:it-it:the-source:authors:josh-lemos.yml","yaml","content","it-it/the-source/authors/josh-lemos.yml","it-it/the-source/authors/josh-lemos","yml",{"_path":35,"_dir":36,"_draft":6,"_partial":6,"_locale":7,"data":37,"_id":338,"_type":29,"title":339,"_source":30,"_file":340,"_stem":341,"_extension":33},"/shared/it-it/main-footer","it-it",{"text":38,"source":39,"edit":45,"contribute":50,"config":55,"items":60,"minimal":330},"Git è un marchio di Software Freedom Conservancy e l'uso del termine \"GitLab\" è regolato da un accordo di licenza",{"text":40,"config":41},"Visualizza origine pagina",{"href":42,"dataGaName":43,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":46,"config":47},"Modifica questa pagina",{"href":48,"dataGaName":49,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":51,"config":52},"Contribuisci",{"href":53,"dataGaName":54,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":56,"facebook":57,"youtube":58,"linkedin":59},"https://twitter.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[61,88,161,229,291],{"title":62,"links":63,"subMenu":69},"Piattaforma",[64],{"text":65,"config":66},"Piattaforma DevSecOps",{"href":67,"dataGaName":68,"dataGaLocation":44},"/it-it/platform/","devsecops platform",[70],{"title":71,"links":72},"Prezzi",[73,78,83],{"text":74,"config":75},"Visualizza i piani",{"href":76,"dataGaName":77,"dataGaLocation":44},"/it-it/pricing/","view plans",{"text":79,"config":80},"Perché passare a Premium?",{"href":81,"dataGaName":82,"dataGaLocation":44},"/it-it/pricing/premium/","why premium",{"text":84,"config":85},"Perché passare a Ultimate?",{"href":86,"dataGaName":87,"dataGaLocation":44},"/it-it/pricing/ultimate/","why ultimate",{"title":89,"links":90},"Soluzioni",[91,96,101,106,111,116,121,126,131,136,141,146,151,156],{"text":92,"config":93},"Trasformazione digitale",{"href":94,"dataGaName":95,"dataGaLocation":44},"/it-it/topics/digital-transformation/","digital transformation",{"text":97,"config":98},"Sicurezza e conformità",{"href":99,"dataGaName":100,"dataGaLocation":44},"/solutions/application-security-testing/","Application security testing",{"text":102,"config":103},"Distribuzione software automatizzata",{"href":104,"dataGaName":105,"dataGaLocation":44},"/it-it/solutions/delivery-automation/","automated software delivery",{"text":107,"config":108},"Sviluppo Agile",{"href":109,"dataGaName":110,"dataGaLocation":44},"/it-it/solutions/agile-delivery/","agile delivery",{"text":112,"config":113},"Trasformazione cloud",{"href":114,"dataGaName":115,"dataGaLocation":44},"/it-it/topics/cloud-native/","cloud transformation",{"text":117,"config":118},"SCM",{"href":119,"dataGaName":120,"dataGaLocation":44},"/it-it/solutions/source-code-management/","source code management",{"text":122,"config":123},"CI/CD",{"href":124,"dataGaName":125,"dataGaLocation":44},"/it-it/solutions/continuous-integration/","continuous integration & delivery",{"text":127,"config":128},"Gestione del flusso di valore",{"href":129,"dataGaName":130,"dataGaLocation":44},"/it-it/solutions/value-stream-management/","value stream management",{"text":132,"config":133},"GitOps",{"href":134,"dataGaName":135,"dataGaLocation":44},"/it-it/solutions/gitops/","gitops",{"text":137,"config":138},"Aziende",{"href":139,"dataGaName":140,"dataGaLocation":44},"/it-it/enterprise/","enterprise",{"text":142,"config":143},"Piccole imprese",{"href":144,"dataGaName":145,"dataGaLocation":44},"/it-it/small-business/","small business",{"text":147,"config":148},"Pubblica amministrazione",{"href":149,"dataGaName":150,"dataGaLocation":44},"/it-it/solutions/public-sector/","public sector",{"text":152,"config":153},"Istruzione",{"href":154,"dataGaName":155,"dataGaLocation":44},"/it-it/solutions/education/","education",{"text":157,"config":158},"Servizi finanziari",{"href":159,"dataGaName":160,"dataGaLocation":44},"/it-it/solutions/finance/","financial services",{"title":162,"links":163},"Risorse",[164,169,174,179,184,189,194,199,204,209,214,219,224],{"text":165,"config":166},"Installazione",{"href":167,"dataGaName":168,"dataGaLocation":44},"/it-it/install/","install",{"text":170,"config":171},"Guide rapide",{"href":172,"dataGaName":173,"dataGaLocation":44},"/it-it/get-started/","quick setup checklists",{"text":175,"config":176},"Formazione",{"href":177,"dataGaName":178,"dataGaLocation":44},"https://university.gitlab.com/","learn",{"text":180,"config":181},"Documentazione di prodotto",{"href":182,"dataGaName":183,"dataGaLocation":44},"https://docs.gitlab.com/","docs",{"text":185,"config":186},"Blog",{"href":187,"dataGaName":188,"dataGaLocation":44},"/blog/","blog",{"text":190,"config":191},"Storie di successo dei clienti",{"href":192,"dataGaName":193,"dataGaLocation":44},"/customers/","customer success stories",{"text":195,"config":196},"Lavorare da remoto",{"href":197,"dataGaName":198,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"text":200,"config":201},"Servizi GitLab",{"href":202,"dataGaName":203,"dataGaLocation":44},"/it-it/services/","services",{"text":205,"config":206},"TeamOps",{"href":207,"dataGaName":208,"dataGaLocation":44},"/it-it/teamops/","teamops",{"text":210,"config":211},"Community",{"href":212,"dataGaName":213,"dataGaLocation":44},"/community/","community",{"text":215,"config":216},"Forum",{"href":217,"dataGaName":218,"dataGaLocation":44},"https://forum.gitlab.com/","forum",{"text":220,"config":221},"Eventi",{"href":222,"dataGaName":223,"dataGaLocation":44},"/events/","events",{"text":225,"config":226},"Partner",{"href":227,"dataGaName":228,"dataGaLocation":44},"/it-it/partners/","partners",{"title":230,"links":231},"Azienda",[232,237,242,247,252,257,262,266,271,276,281,286],{"text":233,"config":234},"Informazioni",{"href":235,"dataGaName":236,"dataGaLocation":44},"/it-it/company/","company",{"text":238,"config":239},"Opportunità di lavoro",{"href":240,"dataGaName":241,"dataGaLocation":44},"/jobs/","jobs",{"text":243,"config":244},"Leadership",{"href":245,"dataGaName":246,"dataGaLocation":44},"/company/team/e-group/","leadership",{"text":248,"config":249},"Team",{"href":250,"dataGaName":251,"dataGaLocation":44},"/company/team/","team",{"text":253,"config":254},"Manuale",{"href":255,"dataGaName":256,"dataGaLocation":44},"https://handbook.gitlab.com/","handbook",{"text":258,"config":259},"Rapporti con gli investitori",{"href":260,"dataGaName":261,"dataGaLocation":44},"https://ir.gitlab.com/","investor relations",{"text":263,"config":264},"Sustainability",{"href":265,"dataGaName":263,"dataGaLocation":44},"/sustainability/",{"text":267,"config":268},"Diversità, inclusione e appartenenza (DIB)",{"href":269,"dataGaName":270,"dataGaLocation":44},"/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":272,"config":273},"Trust Center",{"href":274,"dataGaName":275,"dataGaLocation":44},"/it-it/security/","trust center",{"text":277,"config":278},"Newsletter",{"href":279,"dataGaName":280,"dataGaLocation":44},"/company/contact/","newsletter",{"text":282,"config":283},"Rassegna stampa",{"href":284,"dataGaName":285,"dataGaLocation":44},"/press/","press",{"text":287,"config":288},"Dichiarazione di trasparenza sulla schiavitù moderna",{"href":289,"dataGaName":290,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":292,"links":293},"Contattaci",[294,299,304,309,314,319,324],{"text":295,"config":296},"Contatta un esperto",{"href":297,"dataGaName":298,"dataGaLocation":44},"/it-it/sales/","sales",{"text":300,"config":301},"Richiedi assistenza",{"href":302,"dataGaName":303,"dataGaLocation":44},"/support/","get help",{"text":305,"config":306},"Portale clienti",{"href":307,"dataGaName":308,"dataGaLocation":44},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"text":310,"config":311},"Stato",{"href":312,"dataGaName":313,"dataGaLocation":44},"https://status.gitlab.com/","status",{"text":315,"config":316},"Termini di utilizzo",{"href":317,"dataGaName":318,"dataGaLocation":44},"/terms/","terms of use",{"text":320,"config":321},"Informativa sulla privacy",{"href":322,"dataGaName":323,"dataGaLocation":44},"/it-it/privacy/","privacy statement",{"text":325,"config":326},"Preferenze dei cookie",{"dataGaName":327,"dataGaLocation":44,"id":328,"isOneTrustButton":329},"cookie preferences","ot-sdk-btn",true,{"items":331},[332,334,336],{"text":315,"config":333},{"href":317,"dataGaName":318,"dataGaLocation":44},{"text":320,"config":335},{"href":322,"dataGaName":323,"dataGaLocation":44},{"text":325,"config":337},{"dataGaName":327,"dataGaLocation":44,"id":328,"isOneTrustButton":329},"content:shared:it-it:main-footer.yml","Main Footer","shared/it-it/main-footer.yml","shared/it-it/main-footer",{"_path":343,"_dir":344,"_draft":6,"_partial":6,"_locale":7,"id":345,"visibility":329,"title":346,"button":347,"_id":351,"_type":29,"_source":30,"_file":352,"_stem":353,"_extension":33},"/shared/it-it/the-source/banner/the-economics-of-software-innovation-2025-08-18","banner","The Economics of Software Innovation","The Economics of Software Innovation—AI’s $750 Billion Opportunity",{"config":348,"text":350},{"href":349},"https://about.gitlab.com/software-innovation-report/","Get the research report","content:shared:it-it:the-source:banner:the-economics-of-software-innovation-2025-08-18.yml","shared/it-it/the-source/banner/the-economics-of-software-innovation-2025-08-18.yml","shared/it-it/the-source/banner/the-economics-of-software-innovation-2025-08-18",{"_path":355,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"logo":356,"subscribeLink":361,"navItems":365,"_id":377,"_type":29,"title":378,"_source":30,"_file":379,"_stem":380,"_extension":33},"/shared/it-it/the-source/navigation",{"altText":357,"config":358},"the source logo",{"src":359,"href":360},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750191004/t7wz1klfb2kxkezksv9t.svg","/it-it/the-source/",{"text":362,"config":363},"Iscriviti",{"href":364},"#subscribe",[366,370,373],{"text":367,"config":368},"Intelligenza artificiale",{"href":369},"/it-it/the-source/ai/",{"text":97,"config":371},{"href":372},"/it-it/the-source/security/",{"text":374,"config":375},"Piattaforma e infrastruttura",{"href":376},"/it-it/the-source/platform/","content:shared:it-it:the-source:navigation.yml","Navigation","shared/it-it/the-source/navigation.yml","shared/it-it/the-source/navigation",{"_path":382,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"title":383,"description":384,"submitMessage":385,"formData":386,"_id":390,"_type":29,"_source":30,"_file":391,"_stem":392,"_extension":33},"/shared/it-it/the-source/newsletter","Newsletter di The Source","Rimani al passo con le ultime tendenze dello sviluppo software grazie a preziosi approfondimenti.","Hai effettuato l'iscrizione alla newsletter di The Source.",{"config":387},{"formId":388,"formName":389,"hideRequiredLabel":329},28469,"thesourcenewsletter","content:shared:it-it:the-source:newsletter.yml","shared/it-it/the-source/newsletter.yml","shared/it-it/the-source/newsletter",{"amanda-rueda":394,"andre-michael-braun":395,"andrew-haschka":396,"ayoub-fandi":397,"brian-wald":398,"bryan-ross":399,"chandler-gibbons":400,"dave-steer":401,"ddesanto":402,"derek-debellis":403,"emilio-salvador":404,"erika-feldman":405,"george-kichukov":406,"gitlab":407,"grant-hickman":408,"haim-snir":409,"iganbaruch":410,"jlongo":411,"joel-krooswyk":412,"josh-lemos":11,"julie-griffin":413,"kristina-weis":414,"lee-faus":415,"ncregan":416,"rschulman":417,"sabrina-farmer":418,"sandra-gittlen":419,"sharon-gaudin":420,"stephen-walters":421,"taylor-mccaslin":422},"Amanda Rueda","Andre Michael Braun","Andrew Haschka","Ayoub Fandi","Brian Wald","Bryan Ross","Chandler Gibbons","Dave Steer","David DeSanto","Derek DeBellis","Emilio Salvador","Erika Feldman","George Kichukov","GitLab","Grant Hickman","Haim Snir","Itzik Gan Baruch","Joseph Longo","Joel Krooswyk","Julie Griffin","Kristina Weis","Lee Faus","Niall Cregan","Robin Schulman","Sabrina Farmer","Sandra Gittlen","Sharon Gaudin","Stephen Walters","Taylor McCaslin",{"allArticles":424,"visibleArticles":471,"showAllBtn":329},[425,451],{"_path":426,"_dir":427,"_draft":6,"_partial":6,"_locale":7,"config":428,"seo":432,"content":437,"type":446,"category":427,"slug":447,"_id":448,"_type":29,"title":433,"_source":30,"_file":449,"_stem":450,"_extension":33,"date":438,"description":439,"timeToRead":440,"heroImage":435,"keyTakeaways":441,"articleBody":445},"/it-it/the-source/security/key-security-trends-for-cisos-in-2025","security",{"layout":9,"template":429,"articleType":430,"author":27,"featured":6,"gatedAsset":431,"isHighlighted":6,"authorName":11},"TheSourceArticle","Regular","source-lp-ai-guide-for-enterprise-leaders-building-the-right-approach",{"title":433,"description":434,"ogImage":435,"config":436},"Principali tendenze del 2025 per i responsabili della sicurezza delle informazioni","Approfondisci Secure by Design e i concetti correlati e scopri cosa puoi fare oggi per integrare la sicurezza nei tuoi processi di sviluppo software.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464506/hyue0lgqq2lqk3arwnel.jpg",{"ignoreTitleCharLimit":329},{"title":433,"date":438,"description":439,"timeToRead":440,"heroImage":435,"keyTakeaways":441,"articleBody":445},"2025-02-25","Dai un'occhiata alle principali tendenze del 2025 nel campo della sicurezza e scopri come l'IA crea nuovi rischi e opportunità, rimodella la gestione delle identità e rafforza i team DevOps.","Tempo di lettura: 5 minuti",[442,443,444],"L'IA porta sia rischi che opportunità per la sicurezza. Le organizzazioni devono controllare attentamente come viene integrata nei prodotti di aziende esterne, sfruttarla per rafforzare i controlli e prepararsi a eventuali interruzioni del servizio.","È necessario modernizzare la gestione delle identità per poter controllare complesse interazioni tra macchine, autorizzazioni dinamiche e l'accesso ai sistemi basati sull'IA. A tal fine bisogna avvalersi di strumenti di sicurezza più flessibili e adattivi.","Questi ultimi possono contribuire a colmare il divario di competenze in materia di sicurezza DevOps automatizzando i controlli, suggerendo pattern di programmazione affidabili e integrando la sicurezza in ogni fase del ciclo di sviluppo software.","Nel 2025, molti dei tuoi principali strumenti di sicurezza includeranno modelli di IA che non sarai in grado di comprendere a fondo o gestire nella loro interezza. I membri del consiglio di amministrazione della tua organizzazione si staranno già interrogando su cosa fare per prevenire la prossima breccia nel sistema di sicurezza ed evitare di finire sui giornali. Nel frattempo, le aziende concorrenti stanno utilizzando l'IA per automatizzare la sicurezza a un livello assolutamente impensabile solo fino a qualche mese fa. L'evoluzione dei requisiti normativi aggiunge un altro livello di complessità, in quanto le nuove norme dell'Unione europea e della California disciplinano le modalità in cui è possibile utilizzare i sistemi basati sull'IA.\n\nIl panorama della sicurezza si sta evolvendo rapidamente ma, con il giusto approccio, è possibile sfruttare queste sfide per costruire difese più solide e proteggersi dalle nuove minacce informatiche. Ecco tre tendenze a cui è necessario prepararsi e che domineranno il panorama della sicurezza aziendale nel corso di quest'anno.\n\n## 1. Vulnerabilità nei modelli linguistici di grandi dimensioni (LLM) proprietari\nOggigiorno, molti fornitori integrano modelli linguistici di grandi dimensioni (LLM) proprietari nei loro prodotti, esponendo la tua organizzazione a nuovi rischi. La maggior parte di questi LLM sono come scatole nere: non è possibile comprenderne a fondo il funzionamento interno o le misure di sicurezza implementate. I ricercatori nel campo della sicurezza informatica hanno dimostrato la fragilità dei sistemi di protezione dell'IA. La superficie di attacco dei modelli stessi e, di riflesso, dei prodotti che essi supportano è in aumento.\n\nPoiché molti prodotti si basano sui medesimi LLM proprietari, un singolo attacco potrebbe danneggiare molti dei tuoi sistemi nello stesso momento. Una simile concentrazione del rischio è particolarmente preoccupante, in quanto le funzioni aziendali più critiche dipendono da strumenti basati sull'IA. Per far fronte a questa circostanza, dovrai:\n\n- Verificare quali dei tuoi fornitori utilizzano LLM\n- Valutare i controlli di sicurezza messi in atto da questi fornitori\n- Prepararti a eventuali interruzioni dei servizi basati su LLM\n- Sviluppare piani di ripristino per i sistemi critici dipendenti dall'IA\n\n> Per saperne di più: [7 domande da porre al tuo fornitore DevOps per costruire una strategia di IA incentrata sulla trasparenza]((https://about.gitlab.com/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/)\n\n## 2. Sfide nella gestione delle identità\nI sistemi cloud e di intelligenza artificiale stanno cambiando il modo in cui controlliamo l'accesso ai sistemi di uso quotidiano. Al giorno d'oggi, i tuoi sistemi di gestione delle identità sono chiamati a gestire:\n\n- Un aumento delle identità non umane basate su servizi\n- Un numero maggiore di connessioni tra macchine\n- Cambiamenti frequenti nelle necessità di accesso ai sistemi di identità\n- Complesse catene di autorizzazioni tra i servizi\n- Sistemi di intelligenza artificiale che richiedono diversi livelli di accesso ai dati\n\nI tradizionali strumenti di Identity and Access Management non sono stati creati per far fronte a queste sfide. Avrai bisogno di versioni più flessibili e in grado di adattarsi rapidamente al mutare delle tue esigenze. Valuta la possibilità di implementare [principi Zero Trust e accessi just-in-time](https://about.gitlab.com/the-source/security/field-guide-to-threat-vectors-in-the-software-supply-chain/) per controllare al meglio questi ambienti dinamici.\n\nInoltre, i team della sicurezza dovrebbero sviluppare strategie mirate e prepararsi ad affrontare le complessità dell'IA agentica applicando gli stessi criteri di rigore e verificabilità che seguono in presenza di utenti umani. Con la proliferazione dei sistemi di intelligenza artificiale, [monitorare e proteggere queste identità non umane](https://about.gitlab.com/blog/improve-ai-security-in-gitlab-with-composite-identities/) diventa importante tanto quanto la gestione dell'accesso degli utenti umani.\n\n## 3. Implementare misure di sicurezza efficienti in un ambiente DevOps\n[In un recente sondaggio](https://about.gitlab.com/developer-survey/), il 58% degli sviluppatori ha dichiarato di avvertire una certa responsabilità nei confronti della sicurezza delle applicazioni. Tuttavia, trovare personale DevOps che possa vantare le necessarie competenze in materia rimane piuttosto difficile. Gli strumenti basati sull'IA possono essere utili per:\n\n- Scandagliare il codice alla ricerca di vulnerabilità di sicurezza e potenziali minacce sin dalle prime fasi del ciclo di sviluppo\n- Ricevere suggerimenti di pattern di programmazione sicuri\n- Impostare automaticamente le autorizzazioni di accesso corrette\n- Automatizzare le attività ripetitive durante tutto il processo di sviluppo\n\nQuesti strumenti possono aiutare il tuo team della sicurezza a lavorare in modo più efficiente e gli sviluppatori a rilevare le vulnerabilità più comuni prima che il codice raggiunga la fase di produzione. Tutto ciò si traduce in un numero minore di incidenti e in una maggiore solidità dei tuoi sistemi.\n\nValuta la possibilità di investire in strumenti in grado di integrarsi direttamente nei flussi di lavoro degli sviluppatori. Se fornisci loro gli strumenti adeguati per produrre codice sicuro, è probabile che lo facciano.\n\n## Agire: adottare l'IA per proteggersi dalle minacce informatiche\nSe vuoi restare al passo con questi cambiamenti, dovrai:\n\n1. Individuare i punti di contatto tra gli strumenti di IA e i tuoi sistemi, valutando i rischi\n1. Aggiornare il tuo approccio alla gestione delle identità per soddisfare le esigenze del cloud e dell'IA\n1. Cercare soluzioni per integrare l'IA in modo efficace nelle operazioni di sicurezza\n1. Informare costantemente il tuo consiglio di amministrazione riguardo alle minacce informatiche emergenti e alle nuove normative legate all'IA\n1. Stringere rapporti con i principali fornitori per capire come funzionano le loro misure di sicurezza basate sull'IA\n1. Formare il tuo team riguardo ai rischi per la sicurezza generati dall'IA, ma anche in merito alle opportunità\n\nSe da una parte l'integrazione dell'IA potrebbe generare minacce mai affrontate prima d'ora, dall'altra ti offre nuovi strumenti per proteggere la tua organizzazione. Concentrati sull'intelligenza artificiale come strumento per rafforzare la security posture della tua organizzazione, facendo al contempo attenzione ai rischi che ne derivano. L'esecuzione periodica di revisioni delle misure di sicurezza basate sull'IA ti aiuterà a prevenire i rischi legati all'integrità dei tuoi sistemi.\n\n## Guardare al futuro\nIl panorama della sicurezza continuerà a evolversi di pari passo con l'intelligenza artificiale. Adotta una strategia flessibile e proattiva in modo da affrontare con le dovute precauzioni sia le minacce emergenti che le nuove opportunità. Costruisci relazioni solide a tutti i livelli della tua organizzazione, in particolare con il dipartimento legale, gli sviluppatori e i team delle operazioni. Questi rapporti ti aiuteranno a fronteggiare in modo più efficace le sfide legate alla sicurezza.\n\nE ricorda che, per quanto la tecnologia si evolva, il tuo obiettivo principale non cambia: proteggere le risorse della tua organizzazione e garantire la sicurezza della operazioni aziendali. Utilizza nuovi strumenti e adotta approcci alternativi laddove ti sembrino ragionevoli, senza tuttavia perdere di vista i fondamenti della sicurezza nella fretta di integrare l'IA.","article","key-security-trends-for-cisos-in-2025","content:it-it:the-source:security:key-security-trends-for-cisos-in-2025:index.yml","it-it/the-source/security/key-security-trends-for-cisos-in-2025/index.yml","it-it/the-source/security/key-security-trends-for-cisos-in-2025/index",{"_path":452,"_dir":427,"_draft":6,"_partial":6,"_locale":7,"config":453,"seo":455,"content":459,"type":446,"category":427,"slug":467,"_id":468,"_type":29,"title":457,"_source":30,"_file":469,"_stem":470,"_extension":33,"date":460,"description":457,"timeToRead":461,"heroImage":458,"keyTakeaways":462,"articleBody":466},"/it-it/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",{"layout":9,"template":429,"articleType":430,"author":27,"featured":329,"gatedAsset":454,"isHighlighted":6,"authorName":11},"application-security-in-the-digital-age",{"title":456,"description":457,"ogImage":458},"Non solo cultura aziendale per gestire la sicurezza | GitLab","Non solo cultura aziendale: come affrontare la causa principale dei comuni problemi di sicurezza","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464489/mragusmxl1wz8ozdaoml.png",{"title":457,"date":460,"description":457,"timeToRead":461,"heroImage":458,"keyTakeaways":462,"articleBody":466},"2024-10-29","5 minuti di lettura",[463,464,465],"Il passaggio alla scansione autenticata nella gestione delle vulnerabilità aumenta l'efficacia del processo, ma può portare i tecnici a occuparsi di attività non fondamentali, creando una divisione tra team di sicurezza e tecnici.","Un approccio minimalista allo sviluppo software può ridurre le dipendenze e i falsi allarmi generati dallo scanner di vulnerabilità e alleggerire il carico di lavoro per gli sviluppatori, contribuendo a migliorare la sicurezza del software.","Adottare pattern di progettazione collaudati e sicuri basati su casi d'uso ripetibili può ridurre il carico di lavoro per i team tecnici e aumentare la sicurezza.","Quest'anno il [sondaggio annuale tra i professionisti del DevSecOps](https://about.gitlab.com/developer-survey/) di GitLab ha rilevato numerosi problemi nella cultura organizzativa che potrebbero impedire un allineamento più profondo tra i team tecnici e della sicurezza. La maggioranza delle persone intervistate (58%) dichiara che è difficile far sì che i team di sviluppo diano priorità alla correzione delle vulnerabilità; il 52% riferisce che le procedure spesso ne impediscono la risoluzione rapida. Inoltre, gli specialisti di sicurezza intervistati riportano vari problemi specifici legati al proprio lavoro, tra cui difficoltà a comprendere i risultati delle analisi di sicurezza, un numero eccessivo di falsi positivi e lo svolgimento di test in una fase troppo tarda dello sviluppo software.\n\nIl [DevSecOps](/topics/devsecops/) promette di offrire un'integrazione migliore tra il lavoro dei tecnici e quello dei team di sicurezza, ma è chiaro che persistono frustrazioni e un certo disallineamento. Queste difficoltà sono sintomi di un problema più ampio, legato all'idea che l'organizzazione ha della sicurezza, alla collaborazione tra team e al tempo dedicato alle attività di sicurezza.\n\n## Sfuggire al circolo vizioso della vulnerabilità\n\nLe analisi mettono in evidenza tutte le potenziali vulnerabilità, ma il fatto che un pacchetto software presenti una vulnerabilità o un'esposizione comune non significa che sia raggiungibile o sfruttabile. Molti team della sicurezza e sviluppatori potrebbero essere occupati a categorizzare e filtrare i risultati delle vulnerabilità, cresciuti esponenzialmente negli anni da quando si è diffusa la scansione autenticata delle vulnerabilità.\n\nIl passaggio alla scansione autenticata ha migliorato l'efficacia dei programmi di sicurezza sotto vari aspetti, ma ha anche inserito gli sviluppatori in un ciclo infinito di correzione di elementi poco rilevanti. Se i team usano il proprio tempo per lavorare su patch che non riguardano una vulnerabilità sfruttabile, non riescono a occuparsi di attività più critiche, come la correzione di falle vulnerabili e sfruttabili. Questa attualmente è la fonte di gran parte delle tensioni tra team di sicurezza e tecnici.\n\nCome è possibile affrontare la causa principale di questi problemi e promuovere una migliore integrazione tra tecnici ed esperti di sicurezza? Ecco tre modi per eliminare alla fonte le frustrazioni più comuni dei team di sicurezza.\n\n### 1. Silenzia il rumore, concentrati su segnali utili ad alta fedeltà\n\nSecondo gli esperti di sicurezza intervistati durante il nostro sondaggio, l'eccesso di falsi positivi è il secondo problema più pressante. La sfida è evidente, ma spesso è solo un problema di gestione delle vulnerabilità sotto mentite spoglie.\n\nLa presenza di molti falsi positivi potrebbe indicare che non si è fatto tutto il possibile per garantire l'alta fedeltà dei risultati di sicurezza. I team di sicurezza devono quindi restringere il campo a ciò che conta di più. Ciò significa che le tradizionali soluzioni di test statico della sicurezza delle applicazioni (SAST) sono probabilmente insufficienti. Il SAST è uno strumento potente, ma perde gran parte del suo valore se i risultati sono ingestibili o mancano di un contesto appropriato. Affinché il SAST sia più efficace, deve integrarsi [fluidamente con altri strumenti di sicurezza e sviluppo ed essere accessibile agli sviluppatori](https://about.gitlab.com/blog/oxeye-joins-gitlab-to-advance-application-security-capabilities/).\n\nUn altro problema è che gran parte degli strumenti di analisi ha una finestra di contesto molto ristretta per comprendere i risultati delle vulnerabilità. Questo è uno dei campi in cui possono venire in aiuto le [funzionalità basate sull'IA in grado di spiegare le vulnerabilità della sicurezza](https://about.gitlab.com/it-it/the-source/ai/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/).\n\n### 2. Ridurre al minimo lo stack tecnologico e la superficie di attacco\n\nConcentrarsi su ciò che conta non è importante solo per i test di sicurezza, ma anche per lo sviluppo software in primo luogo.\n\nNonostante l'IA prometta di semplificare lo sviluppo software, [la nostra indagine indica che molte aziende hanno ancora molta strada da fare](https://about.gitlab.com/it-it/the-source/platform/3-surprising-findings-from-our-2024-global-devsecops-survey/). Rispetto agli intervistati che non usano l'IA, chi la usa è nettamente più propenso a consolidare la propria toolchain; questo dato indica che la proliferazione di diverse point solution che eseguono modelli di IA diversi potrebbe aggiungere complessità, non eliminarla.\n\nLa complessità crescente degli stack tecnologici aziendali è una delle principali difficoltà per i team di sicurezza. Un certo grado di complessità è inevitabile durante lo sviluppo di sistemi software estesi e sfaccettati, ma le organizzazioni devono cercare di evitare le complessità derivanti da decisioni di progettazione non ottimali, come codice difficile da aggiornare e dipendenze ridondanti. Questa complessità evitabile crea una superficie di attacco più ampia e genera più risultati delle analisi di sicurezza, che i team devono ordinare, a cui devono assegnare priorità e che devono affrontare.\n\nBisogna quindi affrontare lo sviluppo attraverso la lente della minimizzazione del software, ovvero adottare intenzionalmente alcuni strumenti e integrare intenzionalmente determinati elementi nelle codebase. In questo modo le dipendenze sono ridotte al minimo, la sicurezza della catena di fornitura del software è migliorata, i falsi allarmi generati dallo scanner di vulnerabilità sono ridotti e, nel complesso, gli sviluppatori hanno meno problemi non critici da correggere.\n\n### 3. Normalizzare l'approccio orientato a una strada già battuta\n\nTra i problemi principali individuati dagli intervistati c'è anche lo svolgimento di test di sicurezza troppo tardi nel ciclo di sviluppo software. Alcuni dipendenti possono sentirsi frustrati quando vogliono distribuire un elemento ma non possono farlo perché una vulnerabilità viene rilevata in ritardo (e spesso era impossibile rilevarla prima). Ciò che è possibile, però, è usare componenti di sicurezza riutilizzabili e di cui è facile eseguire il deployment, limitando le variabili e le potenziali vulnerabilità.\n\nPer evitare sorprese in fase avanzata di sviluppo si possono adottare [pattern di progettazione collaudati e sicuri basati su casi d'uso ripetibili](https://about.gitlab.com/the-source/platform/how-devops-and-platform-engineering-turbocharge-efficiency/): è il cosiddetto approccio orientato a una strada già battuta. Una \"strada battuta\" (\"paved way\") è un percorso consigliato che include un set definito di strumenti, processi e componenti, utilizzabile dai team per creare applicazioni sicure in modo più efficiente, ad esempio usando GitOps per la versione ed eseguendo il deployment di una Infrastructure as Code ben progettata e testata che si distribuisce su larga scala per tutti i carichi di lavoro.\n\nAdottare questo tipo di approccio può ridurre in parte la flessibilità, ma nel complesso limita il carico operativo e la rilavorazione necessaria per i team tecnici, migliorando la sicurezza. Per applicarlo, serve la collaborazione tra team di sicurezza e di sviluppo: i primi possono aiutare a definirlo, ma occorre coinvolgere i tecnici per gestirlo e aggiornarlo come parte della codebase.\n\n## La sicurezza è un dominio, non un team{class=\"no-anchor\"}\n\nLa sicurezza si sta già integrando nel lavoro dei team tecnici, e possiamo aspettarci che i confini tra i due continueranno a confondersi. Ma con la rapida adozione dell'IA e la corrispondente accelerazione dello sviluppo software (il 66% degli intervistati dichiara di effettuare release due volte più velocemente, o comunque più velocemente, rispetto allo scorso anno), la sicurezza sarà fondamentale per creare sistemi e framework ottimizzati affinché diano il massimo vantaggio in termini di sicurezza. Per questo motivo, la disconnessione tra sviluppo e sicurezza è solo una sfaccettatura del problema. È essenziale promuovere una cultura della collaborazione, ma i team di sicurezza e tecnici devono anche collaborare per ripensare gli aspetti fondamentali dello sviluppo software, come l'ottimizzazione delle codebase esistenti e la creazione di soluzioni scalabili incentrate sugli aspetti tecnici, che possano essere adottate senza problemi dai team tecnici in tutta l'organizzazione.","security-its-more-than-culture-addressing-the-root-cause-of-common-security","content:it-it:the-source:security:security-its-more-than-culture-addressing-the-root-cause-of-common-security:index.yml","it-it/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security/index.yml","it-it/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security/index",[425,451],{"ai":367,"platform":374,"security":97},1755803149328]