Probabilmente avrai visto i titoli. Un'altra massiccia violazione di dati, un'altra azienda che ammette che "attori sofisticati" sono entrati nei loro sistemi. Ma se si scava a fondo nella maggior parte dei report post-mortem, la realtà è spesso meno legata a qualche hacker geniale e più a una vulnerabilità semplice e nota che non era ancora stata corretta. È il classico divario di sicurezza: sai di avere delle falle, potresti persino avere un elenco di quelle falle in un PDF da qualche parte, ma sembra che tu non riesca a correggerle abbastanza velocemente.
È qui che si verifica l'attrito. I team di sicurezza trovano i bug, ma i team di sviluppo stanno correndo verso una scadenza. Il team dell'infrastruttura teme che una patch possa danneggiare un sistema legacy. Nel frattempo, la finestra di opportunità per un attaccante rimane spalancata. Il problema di solito non è la mancanza di impegno; è una mancanza di agilità. Il tradizionale Penetration Testing, quello in cui un consulente arriva per due settimane, ti consegna un report di 50 pagine e scompare, è troppo lento per il modo in cui sviluppiamo software oggi.
Se stai implementando codice più volte al giorno, un Penetration Test trimestrale o annuale è fondamentalmente un'istantanea di un edificio che è già stato ristrutturato tre volte da quando è stata scattata la foto. Per accelerare effettivamente la correzione delle vulnerabilità, è necessario un processo che si muova velocemente come il tuo ambiente cloud. Il Penetration Testing basato su cloud cambia le carte in tavola trasformando la sicurezza da un "cancello" alla fine del progetto in un flusso continuo di intelligence.
In questa guida, esamineremo come fermare il ciclo infinito di "scopri, ignora, panico, applica patch" e invece costruire una pipeline di correzione che funzioni davvero. Esploreremo come il cloud pentesting rimuove i colli di bottiglia dell'infrastruttura e come piattaforme come Penetrify ti aiutano a colmare il divario tra la scoperta di un difetto e la sua effettiva eliminazione.
Perché il Pentesting Tradizionale Rallenta la Correzione
Per capire perché dobbiamo accelerare, dobbiamo prima esaminare perché il vecchio modo è così lento. Per anni, lo standard è stata la valutazione "Point-in-Time". Assumi un'azienda, scansionano il tuo perimetro, provano alcuni exploit e ti danno un report.
Il problema è che il report diventa obsoleto nel momento in cui viene consegnato. Perché? Perché il tuo ambiente è dinamico. Hai aggiunto un nuovo bucket S3, aggiornato un cluster Kubernetes o pubblicato un nuovo endpoint API. La vulnerabilità "critica" trovata martedì potrebbe essere irrilevante entro venerdì, ma una nuova, più pericolosa, è apparsa al suo posto.
Il Problema del "Muro di PDF"
Uno dei maggiori ostacoli alla correzione è il formato della consegna. Quando i risultati di sicurezza arrivano come un PDF statico, diventano un muro tra il team di sicurezza e le persone che possono effettivamente correggere il codice. L'analista della sicurezza deve inserire manualmente tali risultati in Jira o ServiceNow. Lo sviluppatore deve quindi leggere una descrizione vaga come "Cross-Site Scripting found on /login page", provare a replicarla e quindi correggerla.
Questo passaggio manuale è dove muore la correzione. Le cose si perdono nella traduzione. I livelli di priorità sono discussi. L'attrito dello spostamento dei dati da un documento a un ticket rallenta tutto.
Colli di Bottiglia dell'Infrastruttura
Il testing tradizionale spesso richiede molta configurazione. Devi inserire gli IP nella whitelist, configurare le VPN o fornire ai tester credenziali specifiche. Se i tester colpiscono un muro perché una regola del firewall è troppo rigida, smettono di lavorare. Paghi per il loro tempo mentre aspettano che il tuo team IT apra una porta. Questo avanti e indietro aggiunge giorni o settimane al processo prima che venga trovata anche una sola vera vulnerabilità.
Il Divario di Risorse
La maggior parte delle aziende non ha abbastanza ingegneri della sicurezza. Se hai dieci sviluppatori per ogni persona addetta alla sicurezza, quella persona addetta alla sicurezza diventa un collo di bottiglia. Non possono esaminare ogni modifica. Quando finalmente fanno un'immersione profonda e trovano venti problemi critici, gli sviluppatori si sentono sopraffatti e risentiti. Trasforma la sicurezza in un "dipartimento del no" piuttosto che in un partner nella costruzione di un prodotto migliore.
Transizione al Penetration Testing Cloud-Native
Il cloud pentesting non riguarda solo lo spostamento degli strumenti su un server nel cloud; si tratta di cambiare la filosofia di come testiamo. Quando si utilizza un'architettura cloud-native, le barriere infrastrutturali semplicemente svaniscono. Non stai aspettando che l'hardware venga spedito o che le VPN vengano configurate.
Scalabilità On-Demand
Il vantaggio maggiore di un approccio basato su cloud è la capacità di scalare. Se improvvisamente lanci tre nuovi microservizi, non è necessario programmare un nuovo impegno con una società di consulenza. Puoi attivare istantaneamente le risorse di testing.
È qui che si inserisce una piattaforma come Penetrify. Fornendo un ambiente cloud-native sia per il testing automatizzato che manuale, ti consente di condurre valutazioni senza il pesante lavoro di configurazioni on-premise. Puoi simulare attacchi across multiple environments simultaneously, il che significa che trovi i difetti nel tuo ambiente di staging prima che raggiungano la produzione.
Integrazione Invece di Documentazione
Il passaggio dal "reporting" all'"integrazione" è la vera chiave per l'accelerazione. Invece di un PDF, le piattaforme di cloud pentesting immettono i risultati direttamente negli strumenti che il tuo team già utilizza.
Pensa alla differenza:
- Vecchio Modo: PDF $\rightarrow$ Email $\rightarrow$ Analista della Sicurezza $\rightarrow$ Ticket Jira $\rightarrow$ Sviluppatore.
- Cloud Way: Cloud Pentest $\rightarrow$ API/Webhook $\rightarrow$ Ticket Jira $\rightarrow$ Sviluppatore.
Rimuovendo l'intermediario, si riduce il "Mean Time to Remediate" (MTTR). Lo sviluppatore riceve l'avviso nel suo flusso di lavoro esistente, spesso con l'esatto payload utilizzato per attivare la vulnerabilità, rendendo molto più facile la riproduzione e la correzione.
Testing Continuo vs. Episodico
Quando si passa al cloud, è possibile muoversi verso la "Continuous Security Validation". Invece di un unico grande test annuale, si eseguono costantemente test più piccoli e mirati. Questo previene l'"accumulo di vulnerabilità" che si verifica quando si testa solo una volta all'anno. Correggere cinque bug ogni settimana è molto più gestibile per un team di sviluppo che correggere 200 bug una volta all'anno.
Un framework passo-passo per una correzione più rapida
Trovare il bug è solo il 20% della battaglia. L'altro 80% consiste nel farlo correggere e verificare. Ecco un framework pratico per accelerare questo processo utilizzando un approccio basato sul cloud.
Passo 1: Definire la superficie di attacco
Non si può correggere ciò che non si sa che esiste. Utilizzare strumenti di discovery nativi del cloud per mappare ogni IP rivolto al pubblico, ogni endpoint API e ogni bucket di archiviazione cloud.
Consiglio da professionisti: Non limitarsi a guardare le app principali. Osservare la "shadow IT"—i server di sviluppo dimenticati o il sito di marketing creato da un dipartimento diverso. Questi sono di solito i punti di ingresso più facili per gli aggressori.
Passo 2: Scansione automatizzata di base
Iniziare con la scansione automatizzata delle vulnerabilità. Questo cattura i "frutti a portata di mano"—versioni software obsolete, intestazioni di sicurezza mancanti e configurazioni errate comuni. Automatizzando questo processo, si elimina il rumore di fondo in modo che i vostri pentesters umani (o i moduli manuali di una piattaforma come Penetrify) possano concentrarsi sui difetti logici complessi che uno scanner non troverebbe mai.
Passo 3: Penetration Testing manuale orientato all'obiettivo
Una volta corrette le basi, passare al Penetration Testing manuale. È qui che si simula il comportamento di un aggressore nel mondo reale. Concentrarsi su obiettivi di alto valore:
- Flussi di autenticazione: Posso bypassare il login?
- Autorizzazione: L'utente A può vedere i dati dell'utente B?
- Validazione dell'input: Posso iniettare comandi nel database?
Passo 4: Triage e Prioritizzazione (La matrice di rischio)
Non tutti i "Criticals" sono creati uguali. Una vulnerabilità critica su un server sandbox senza dati è meno urgente di una vulnerabilità media sul vostro gateway di pagamento principale.
Creare una matrice di rischio basata su:
- Sfruttabilità: Quanto è facile attivarla?
- Impatto: Cosa succede se viene sfruttata?
- Raggiungibilità: È esposta all'internet aperto o sepolta in profondità nella rete interna?
Passo 5: Il ciclo di correzione
È qui che avviene l'accelerazione. Invece di un lungo elenco, fornire agli sviluppatori compiti "a misura di boccone".
- Fornire una descrizione chiara del difetto.
- Fornire il "Proof of Concept" (PoC) in modo che possano vedere cosa succede.
- Suggerire la correzione specifica (ad esempio, "Utilizzare una query parametrizzata qui invece della concatenazione di stringhe").
Passo 6: Re-testing rapido
La più grande perdita di tempo nella sicurezza è la fase "Penso di averlo corretto". Lo sviluppatore contrassegna il ticket come risolto, ma il team di sicurezza impiega due settimane per verificarlo.
Con il cloud pentesting, è possibile attivare immediatamente un re-test. Nel momento in cui il codice viene spinto in staging, la piattaforma esegue di nuovo lo specifico exploit. Se fallisce, il ticket viene chiuso. Se funziona ancora, torna immediatamente allo sviluppatore. Nessuna attesa.
Insidie comuni che rallentano la correzione
Anche con i migliori strumenti cloud, i processi umani possono intralciare. Ecco gli errori più comuni che le organizzazioni commettono e come evitarli.
L'"Argomentazione sulla gravità"
Ci siamo passati tutti. Il team di sicurezza contrassegna qualcosa come "High" e lo sviluppatore sostiene che è "Medium" perché "nessuno lo farebbe mai davvero". Queste discussioni sprecano ore di tempo produttivo.
La soluzione: Smettere di discutere sulle etichette e iniziare a parlare di rischio. Invece di dire "Questo è un High", dire "Un aggressore potrebbe usarlo per scaricare l'intero database dei nostri clienti". Questo cambia la conversazione da un dibattito sulle definizioni a una discussione sul rischio aziendale.
Eccessiva dipendenza da strumenti automatizzati
Gli strumenti sono ottimi, ma hanno dei punti ciechi. Uno scanner può dirvi che la vostra versione TLS è obsoleta, ma non può dirvi che la vostra logica di reimpostazione della password permette a qualcuno di assumere il controllo di qualsiasi account.
La soluzione: Utilizzare un approccio ibrido. Utilizzare l'automazione per l'ampiezza (scansione di tutto) e il testing manuale per la profondità (attacco alla logica di base). Penetrify è progettato per questo—combinando la velocità del cloud con l'intelligenza della valutazione manuale.
Trattare la sicurezza come un passo finale
Se si testa solo poco prima di un rilascio, si sta solo aggiungendo un ritardo. Se il Penetration Test trova un difetto critico due giorni prima del lancio, si hanno due cattive scelte: ritardare il lancio (il che fa arrabbiare l'azienda) o lanciare con il difetto (il che rende nervoso il team di sicurezza).
La soluzione: Spostare la sicurezza "a sinistra". Eseguire cloud pentests sui vostri feature branch o nel vostro ambiente di staging. Trovare il bug mentre lo sviluppatore sta ancora lavorando su quello specifico pezzo di codice, non tre settimane dopo.
Correggere il sintomo, non la causa principale
Se un Penetration Test trova una vulnerabilità Cross-Site Scripting (XSS) su una pagina, l'istinto è quello di correggere quella pagina. Ma se quella pagina è vulnerabile, è probabile che lo siano anche altre dieci pagine.
La soluzione: Utilizzare i risultati come segnale di problemi sistemici. Se si vede un modello di difetti di injection, non limitarsi a correggere i bug—implementare una libreria globale di validazione dell'input o aggiornare i propri standard di codifica.
Cloud Pentesting vs. Pentesting tradizionale: un confronto dettagliato
Se siete ancora indecisi sul passaggio delle vostre valutazioni di sicurezza al cloud, è utile vedere le differenze esposte chiaramente.
| Funzionalità | Penetration Testing Tradizionale | Penetration Testing Basato su Cloud (e.g., Penetrify) |
|---|---|---|
| Tempo di Setup | Giorni/Settimane (VPN, Whitelisting) | Minuti/Ore (Accesso cloud-native) |
| Frequenza | Annuale o Trimestrale | Continua o On-Demand |
| Delivery | Report PDF Statici | Integrazioni API, Dashboard, Ticket |
| Struttura dei Costi | Elevata tariffa upfront per engagement | Scalabile, spesso basata su abbonamento o utilizzo |
| Ciclo di Feedback | Lento (Attendi il report $\rightarrow$ correggi $\rightarrow$ ri-test) | Veloce (Test $\rightarrow$ Ticket $\rightarrow$ Correzione $\rightarrow$ Auto-verifica) |
| Scalabilità | Limitata dalle ore del consulente | Altamente scalabile su più ambienti |
| Infrastruttura | Richiede accesso on-premise o specializzato | Cloud-native, nessun hardware necessario |
Approfondimento: Integrazione del Pentesting nella Pipeline CI/CD
Per accelerare veramente la correzione, devi smettere di pensare al "pentesting" come a un evento separato e iniziare a considerarlo come una fase della tua pipeline. Anche se non puoi (e non dovresti) eseguire un Penetration Test manuale completo su ogni singolo commit, puoi integrare dei "checkpoint di sicurezza".
L'Approccio Basato su Trigger
Puoi impostare la tua pipeline per attivare test specifici in base al tipo di modifica:
- Modifica dell'Infrastruttura: Se uno script Terraform o CloudFormation viene aggiornato, attiva una scansione della configurazione cloud per assicurarti che nessun bucket S3 sia stato accidentalmente reso pubblico.
- Modifica dell'API: Se un nuovo endpoint viene aggiunto alla specifica Swagger/OpenAPI, attiva un test di fuzzing automatizzato per verificare la presenza di crash o risposte impreviste.
- Modifica dell'Autenticazione: Se viene modificato qualsiasi codice nella directory
/autho/user, segnalalo per una revisione manuale da parte di un esperto di sicurezza.
Il Concetto di "Security Gate"
Implementa un "Security Gate" nel tuo CI/CD. Non si tratta di un muro, ma di un filtro. Per esempio:
- Finding di livello Basso/Medio: Consenti il passaggio della build, ma crea automaticamente un ticket Jira con una scadenza di correzione di 30 giorni.
- Finding di livello Alto/Critico: Fallisci la build. Il codice non può essere unito al branch principale finché la vulnerabilità non viene risolta.
Questo costringe la correzione ad avvenire durante lo sviluppo, il che è infinitamente più veloce che cercare di risolverla in produzione.
Utilizzo di Penetrify per l'Accelerazione della Pipeline
Una piattaforma cloud-native come Penetrify è costruita per questo tipo di agilità. Poiché non richiede la creazione di una propria infrastruttura di test, puoi collegarla ai tuoi ambienti cloud e ottenere una visione in tempo reale della tua postura di sicurezza. Invece di aspettare una finestra programmata, puoi eseguire test sulle tue implementazioni "Canary" o "Blue/Green" per assicurarti che la nuova versione sia sicura prima di passare al 100% del tuo traffico.
Scenari Specializzati per il Cloud Pentesting
Diversi modelli di business affrontano rischi diversi. A seconda di ciò che stai costruendo, le tue priorità di correzione cambieranno.
Scenario A: La Startup SaaS in Rapida Crescita
Le startup spesso danno la priorità alla velocità rispetto a tutto il resto. Spingono il codice velocemente e la sicurezza è spesso un ripensamento finché non cercano di chiudere il loro primo cliente Enterprise che richiede un report SOC 2.
La Sfida: Enorme debito tecnico e una superficie di attacco massiccia e non documentata. La Soluzione Cloud: Utilizza la scansione continua del cloud per trovare le lacune più evidenti. Implementa un programma "Security Champion" in cui uno sviluppatore è il collegamento con la piattaforma di Penetration Testing. Utilizza Penetrify per generare rapidamente le prove necessarie per gli audit di conformità senza interrompere lo sviluppo delle funzionalità.
Scenario B: Il Fornitore di Servizi Sanitari Regolamentato (HIPAA/GDPR)
Nel settore sanitario, una fuga di dati non è solo un disastro di pubbliche relazioni; è una catastrofe legale con multe enormi.
La Sfida: Rigidi requisiti di conformità e dati altamente sensibili. La Soluzione Cloud: Concentrati sugli scenari di "Data Exfiltration". Utilizza il cloud pentesting per testare specificamente i confini tra i diversi silos di dati dei pazienti. Assicurati che la correzione sia documentata meticolosamente per gli auditor, utilizzando gli audit trail forniti da una piattaforma cloud per mostrare esattamente quando è stato trovato un bug e quando è stato chiuso.
Scenario C: L'Azienda FinTech con Integrazione Legacy
Molte FinTech hanno un front-end cloud moderno ma un mainframe di 20 anni nel back-end.
La Sfida: Sistemi legacy "fragili" che potrebbero bloccarsi se li scansioni troppo intensamente. La Soluzione Cloud: Utilizza un approccio di test a più livelli. Esegui test automatizzati aggressivi sul front-end cloud-native e test manuali, a basso impatto, orchestrati con cura sul core legacy. Le piattaforme cloud ti consentono di isolare questi diversi profili di test in modo da non disattivare accidentalmente il tuo sistema bancario centrale durante una scansione.
Strategie Avanzate di Correzione: Oltre la Patch
A volte, una "patch" non è disponibile o la correzione è troppo rischiosa da implementare immediatamente. In questi casi, hai bisogno di "controlli compensativi".
Virtual Patching tramite WAF
Se viene trovata una vulnerabilità critica in una libreria di terze parti che il fornitore non ha ancora corretto, non puoi correggere il codice. Ma puoi utilizzare un Web Application Firewall (WAF).
Quando Penetrify identifica uno specifico payload che innesca una vulnerabilità, puoi prendere quel payload e creare una regola WAF personalizzata per bloccarlo all'edge. Questa "patch virtuale" offre ai tuoi sviluppatori il tempo necessario per trovare una correzione permanente senza lasciare il sistema esposto.
Micro-segmentazione della rete
Se viene riscontrata una vulnerabilità in un servizio non critico, ma tale servizio ha accesso al tuo database primario, il rischio è elevato. Se non puoi correggere il bug oggi, utilizza la tua infrastruttura cloud per "isolare" il servizio.
Limita il suo accesso alla rete in modo che possa comunicare solo con le risorse specifiche di cui ha assolutamente bisogno. Questo limita il "raggio d'azione" se un attaccante sfrutta la vulnerabilità.
Feature Flagging per la sicurezza
I team moderni utilizzano i feature flag (come LaunchDarkly) per attivare e disattivare le funzionalità. Puoi applicarlo alla sicurezza. Se si scopre che una nuova funzionalità presenta un difetto critico durante un cloud pentest, non è necessario ripristinare l'intera implementazione. Basta disattivare il feature flag. La vulnerabilità scompare istantaneamente dalla superficie di attacco e puoi risolverla in background senza interrompere il resto dell'app.
Checklist per accelerare la gestione delle vulnerabilità
Se desideri passare da un processo manuale lento a un motore di correzione ad alta velocità, utilizza questa checklist come roadmap.
Infrastruttura e strumenti
- Passa dai report puntuali a una piattaforma di test cloud-native.
- Integra i risultati del Penetration Testing direttamente in Jira, GitHub Issues o Azure DevOps.
- Imposta scansioni di base automatizzate da eseguire settimanalmente o ad ogni rilascio principale.
- Assicurati di avere un ambiente di "Staging" dedicato che rispecchi l'ambiente di produzione per testare in sicurezza.
Processo e flusso di lavoro
- Stabilisci una chiara matrice di rischio (impatto x probabilità) per dare priorità alle correzioni.
- Crea un "Fast Track" per le vulnerabilità critiche (ad esempio, correzione entro 48 ore).
- Implementa una fase di "Verifica" obbligatoria in cui la correzione viene testata rispetto al PoC originale.
- Pianifica una "Revisione della sicurezza" mensile con i responsabili dello sviluppo per discutere i modelli sistemici.
Cultura e persone
- Sposta la conversazione dal "Conteggio delle vulnerabilità" alla "Riduzione del rischio".
- Ricompensa gli sviluppatori che trovano e correggono i difetti di sicurezza nelle prime fasi del ciclo.
- Forma gli sviluppatori sui difetti più comuni riscontrati nei tuoi specifici Penetration Test.
- Abbatti il silo tra il "Team di sicurezza" e il "Team di ingegneria".
FAQ: Cloud Pentesting e correzione
D: Il cloud pentesting è meno sicuro dei test on-premise? R: Non necessariamente. In molti casi, è più sicuro. Le piattaforme cloud-native sono costruite con moderni standard di sicurezza e offrono log di audit migliori rispetto a un consulente che esegue strumenti da un laptop. La chiave è garantire che la piattaforma che utilizzi, come Penetrify, segua rigorosi protocolli di gestione e crittografia dei dati.
D: La scansione cloud automatizzata sostituirà i penetration tester manuali? R: No. L'automazione è ottima per trovare modelli noti (il "cosa"), ma sono necessari esseri umani per trovare difetti nella logica aziendale (il "come"). La strategia più efficace è quella ibrida: automazione per la baseline e persone per gli attacchi complessi.
D: Come gestisco i "False Positives" negli strumenti automatizzati? R: I False Positives sono il nemico della velocità. Quando uno strumento segnala qualcosa che in realtà non è un rischio, spreca il tempo degli sviluppatori. Questo è il motivo per cui è fondamentale disporre di una piattaforma che consenta la verifica manuale e la "silenziazione" dei False Positives noti. Chiedi sempre a un esperto di sicurezza di valutare i risultati automatizzati prima che raggiungano la coda dei ticket di uno sviluppatore.
D: La mia azienda opera in un settore altamente regolamentato. Posso comunque utilizzare il pentesting basato su cloud? R: Sì. In realtà, la maggior parte degli enti normativi (compresi quelli per PCI DSS e SOC 2) si preoccupa del risultato, ovvero che tu stia identificando e correggendo le vulnerabilità, piuttosto che del fatto che lo strumento sia ospitato on-premise. Assicurati solo che il tuo provider di servizi cloud soddisfi le necessarie certificazioni di conformità.
D: Quanto spesso dovremmo eseguire questi test? R: Dipende dal tuo ciclo di rilascio. Se esegui il deployment quotidianamente, dovresti avere scansioni automatizzate ogni giorno. I Penetration Test manuali e approfonditi dovrebbero essere eseguiti dopo ogni rilascio di funzionalità importante o almeno una volta al trimestre.
Considerazioni finali: la sicurezza come acceleratore, non come freno
Per troppo tempo, la cybersecurity è stata vista come i "freni" di un'organizzazione, qualcosa che rallenta le cose per prevenire un incidente. Ma in un mondo cloud-first, quel modello è rotto. Non puoi fermare lo slancio di un moderno team DevSecOps; puoi solo cercare di stargli dietro.
L'obiettivo di accelerare la correzione delle vulnerabilità non riguarda solo l'"essere sicuri", ma l'agilità aziendale. Quando puoi trovare, verificare e correggere un difetto in poche ore anziché in mesi, riduci lo stress sui tuoi team e il rischio per i tuoi clienti. Smetti di temere la prossima scansione e inizi a utilizzarla come strumento di miglioramento.
Sfruttando l'architettura cloud-native e integrando i risultati di sicurezza direttamente nel tuo flusso di lavoro, trasformi la sicurezza in un acceleratore. Costruisci un prodotto resiliente per progettazione e dai ai tuoi sviluppatori la libertà di innovare senza la paura incombente di una violazione catastrofica.
Se sei stanco del ciclo PDF e attendi, è ora di spostare le tue valutazioni di sicurezza nel cloud. Che tu sia una piccola startup o una grande azienda, la capacità di scalare i tuoi test e automatizzare la tua correzione è l'unico modo per stare al passo con il panorama delle minacce.
Pronto a smettere di tirare a indovinare e iniziare a risolvere i problemi? Scopri come Penetrify può aiutarti a identificare le vulnerabilità in tempo reale e ad accelerare il tuo percorso verso un'infrastruttura sicura e resiliente. Non aspettare la prossima violazione per renderti conto che il tuo processo di correzione è troppo lento: inizia a costruire oggi stesso la tua pipeline di sicurezza cloud-native.