DevSecOps: La clave para una entrega rápida de software sin comprometer la seguridad
La necesidad de innovar y crear puede llevar a los desarrolladores de software a moverse a gran velocidad para lanzar nuevas aplicaciones, actualizaciones y correcciones de errores, un ritmo frenético que puede dar lugar a descuidos en cuanto a seguridad.
DevSecOps, una mezcla de las palabras developers (desarrolladores), cybersecurity (ciberseguridad) y operations (operaciones), es un método colaborativo que integra principios de seguridad de aplicaciones en el desarrollo de software y las operaciones con la menor fricción y la mayor agilidad posible. ¿El objetivo? Poder lanzar productos rápidamente sin comprometer la seguridad de las aplicaciones.
Agregando seguridad al ciclo de vida del software
Según la empresa de inteligencia de software DynaTrace, DevSecOps incorpora la seguridad al producto en todas las etapas del desarrollo y entrega de software, según se indica en un white paper publicado por la empresa.
"DevSecOps ofrece visibilidad sobre las vulnerabilidades del código y también proporciona una comprensión profunda de cómo se tolera un ataque real en un objetivo y hasta dónde puede llegar un atacante", afirmó DynaTrace.
Edward Amoroso, CEO de TABCyber, afirmó que la seguridad en las operaciones está impulsada por la rapidez con la que se deben realizar cambios.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel"¿Las circunstancias cambian de hora en hora, de minuto en minuto o de mes en mes? Si se trata de un marcapasos, el software no se actualiza; si se trata de las redes sociales, sí. ¿Debo realmente automatizar la telemetría de seguridad de DevOps para un dispositivo que no recibirá actualizaciones de software?", dijo Amoroso.
VER: Por qué más no siempre es mejor cuando se trata de soluciones de seguridad.
Elementos clave de DevSecOps
Moviendo hacia la izquierda
Según algunos en la industria, "mover hacia la izquierda" significa identificar las vulnerabilidades del código durante el desarrollo en lugar de hacerlo en la fase de producción, un paso clave, ya que durante la producción resulta mucho más difícil involucrar a los desarrolladores en la corrección después de que hayan pasado a otros proyectos (Imagen A).
Imagen A
"Mover hacia la izquierda" es un principio fundamental de DevSecOps, pero podemos llevarlo aún más lejos", dijo Meredith Bell, CEO de AutoRABIT, una plataforma para Salesforce DevSecOps.
Cómo proteger tu computadora de los virus: métodos y consejos"También utilizamos 'mover hacia adentro' para referirnos a la práctica de crear un flujo de comunicación en el que el feedback fluye constantemente entre cada parte interesada", agregó Bell.
Bell afirmó que al implementar esta práctica, todos los involucrados en el proyecto están conscientes de todas las contingencias y no hay confusión. "Se crea un círculo constante de acción, medición, ajuste y mejora. Estos bucles de retroalimentación se estrechan y amplifican entre sí para crear un entorno más propicio para un código limpio y seguro", dijo.
Procesos automatizados
La automatización ayuda a evitar los errores humanos en la fase de producción del ciclo de vida del software.
Según DynaTrace, la automatización es una parte crítica del proceso de DevSecOps, como se explica en un reciente whitepaper de la empresa.
"... Los equipos deben automatizar las pruebas, pero también los flujos de trabajo, como el avance del software de la prueba a la versión final o la entrega de código a un repositorio", escribió la empresa en su informe.
Amaroso dijo que hay muchos proveedores que ofrecen soluciones automatizadas. "La mayoría de las personas diría que automatizar es mejor que no, ser continuo es mejor que periódico y tener una cobertura completa es mejor que una cobertura intermitente. Y hay al menos 30 empresas que son viables comercialmente haciendo esto", añadió.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasHaciendo la seguridad del software más fácil
Expertos tanto en desarrollo como en seguridad están de acuerdo en que DevSecOps debe involucrar a los desarrolladores en los objetivos de seguridad. Nair afirmó que, en el pasado, la seguridad operativa quedaba a cargo del oficial de cumplimiento, quien realizaba un escaneo, encontraba un problema y lo informaba al desarrollador.
"Seis meses después de crearlo, ese software prácticamente era código de otra persona. Lidiar con estos enfoques centrados en auditorías fue la innovación que creó lo que llamamos DevSec", afirmó.
Nair dijo que los desarrolladores rara vez se encuentran con la seguridad como una práctica.
"Las escuelas de ciencias de la computación no enseñan seguridad", dijo.
Michael McGuire, gerente sénior de soluciones de software en Synopsys, coincidió con esa afirmación.
"Llegué a la industria como desarrollador y no aprendí nada sobre código seguro en la universidad. Creo que ahora es un tema que se está abordando más, pero hay que entender que a los desarrolladores que están escribiendo mucho de este código probablemente no les interesa la seguridad porque no se les enseñó. A mí, desde luego, no me importaba. Eso se debe a que qué tan buen desarrollador es una persona se decide por qué tan rápido pueden solucionar un error o completar un ticket y enviarlo de manera eficiente y de calidad", dijo McGuire.
Protege tus contraseñas con PAM: Tu aliado para la seguridadAfirmó que, dado que se les está pidiendo a los desarrolladores que se preocupen más por la seguridad de las aplicaciones, las herramientas deben adaptarse a sus necesidades.
"Estamos en camino y hay muchas opciones disponibles", concluyó McGuire.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a DevSecOps: La clave para una entrega rápida de software sin comprometer la seguridad , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados