L'introduzione delle metodologie di
sviluppo "agile" hanno portato molti vantaggi alle imprese. Hanno però anche reso il ciclo sviluppo-test-implementazione iterativo e molto stretto, quindi
più suscettibile ad errori e vulnerabilità. Gli hacker ostili hanno preso di mira diverse piattaforme usate nei processi DevOps, dando vita al nuovo ambito dei cosiddetti
supply chain attack.La risposta del mercato è stata duplice. Da un lato si è puntato con decisione a una
maggiore integrazione della sicurezza nei processi di sviluppo, il che ha portato alla nascita dell'
approccio DevSecOps. Dall'altro c'è oggi un maggiore sforzo per "blindare" le piattaforme usate dagli sviluppatori. Anche
Microsoft ha deciso di muoversi in tal senso e ha fatto partire un "
bounty program" dedicato in modo specifico ad Azure DevOps.
Azure DevOps è il complesso dei servizi cloud Microsoft
destinati allo sviluppo agile, quelli che in precedenza erano noti come Visual Studio Team Services. Il nuovo
Azure DevOps Bounty Program coinvolge la community dei ricercatori di sicurezza nello "scovare" eventuali vulnerabilità di tali servizi, estendendosi però anche ad Azure DevOps Server e a Team Foundation Server, due moduli che invece si installano on-premise.
Come
altri bounty program, l'incentivo offerto per chi va a caccia di vulnerabilità è soprattutto economico. Microsoft offre
"taglie" che vanno da 500 a ben 20 mila dollari: la cifra dipende dalla gravità del problema riscontrato e dalla qualità della segnalazione, ossia da quante informazioni contiene che siano utili al team Microsoft per identificare con precisione e riprodurre la specifica vulnerabilità.
Il programma è comunque aperto anche a chi voglia segnalare
problemi meno gravi di quelli che meritano una ricompensa. Tutte le segnalazioni ricevute
saranno infatti esaminate, alla ricerca di bug anche piccoli per aumentare genericamente la qualità di Azure DevOps.