¿Qué es DevSecOps?
Es la filosofía de integrar prácticas de seguridad dentro del proceso de DevOps. El movimiento DevSecOps, como el propio DevOps, se centra en la creación de nuevas soluciones para procesos de desarrollo de software complejos dentro de un marco ágil.
Clave del DevSecOps
- Evitar que el flujo de trabajo de DevOps se ralentice.
- Seleccionar las herramientas adecuadas para integrar la seguridad de forma continua.
- Acordar un entorno de desarrollo integrado (IDE) con funciones de seguridad.
Beneficios de DevSecOps
Los dos principales beneficios de DevSecOps son la velocidad y la seguridad, sin embargo, vamos a detallarlos un poco más:
- Los equipos de desarrollo entregan un código mejor, más seguro, más rápido y, por lo tanto, más económico.
- Colaboración entre los equipos de desarrollo, seguridad y operaciones mejora la respuesta de una organización a las incidencias y problemas cuando ocurren.
- Reducen el tiempo para parchear vulnerabilidades y liberan a los equipos de seguridad para que se concentren en trabajos de mayor valor.
- Aseguran y simplifican el cumplimiento, lo que evita que los proyectos de desarrollo de aplicaciones tengan que adaptarse por motivos de seguridad.
Su propósito
«El propósito y la intención de DevSecOps es construir una mentalidad donde todos son responsables de la seguridad con el objetivo de distribuir de manera segura las decisiones de seguridad a velocidad y escala a aquellos que tienen el nivel más alto de contexto sin sacrificar la seguridad requerida», describe Shannon Lietz, coautor del DevSecOps Manifesto.
Seguridad proactiva mejorada
DevSecOps introduce procesos de ciberseguridad desde el comienzo del ciclo de desarrollo. A lo largo del ciclo de desarrollo, el código se revisa, audita, escanea y prueba para detectar problemas de seguridad.
¿Pero de qué me sirve identificar estos problemas?
- Se abordan tan pronto como se identifican.
- Se solucionan antes de que se introduzcan dependencias adicionales.
- Se vuelven menos costosos de solucionar cuando la tecnología de protección se identifica e implementa al principio del ciclo.
Mejores prácticas para DevSecOps
DevSecOps debería ser la incorporación natural de controles de seguridad en su desarrollo, entrega y procesos operativos.
- Desplazar a la izquierda (‘Shift left’): Alienta a los ingenieros de software a mover la seguridad de la derecha (final) a la izquierda (comienzo) del proceso de DevOps (entrega).
- Una organización que utiliza DevSecOps incorpora a sus arquitectos e ingenieros de ciberseguridad como parte del equipo de desarrollo.
- Formación sobre seguridad: Las organizaciones deben formar una alianza entre los ingenieros de desarrollo, operaciones y seguridad para garantizar que todos en la organización comprendan la postura de seguridad de la empresa y sigan los mismos estándares.
- Trazabilidad, auditabilidad y visibilidad: La implementación de la trazabilidad, la auditabilidad y la visibilidad en un proceso de DevSecOps conduce a un conocimiento más profundo y a un entorno más seguro:
- La trazabilidad: le permite realizar un seguimiento de los elementos de configuración a lo largo del ciclo de desarrollo.
- La auditabilidad: es importante para garantizar el cumplimiento de los controles de seguridad.
- La visibilidad: la organización debe tener un sistema de monitoreo sólido para medir el rendimiento de las operaciones.
Todos los involucrados en el proceso de entrega deben estar familiarizados con:
- Los principios básicos de seguridad de las aplicaciones.
- El proyecto Open Web Application Security Project (Top 10 de vulnerabilidades web (OWASP).
- Las pruebas de seguridad de las aplicaciones y otras prácticas de ingeniería de seguridad.
Herramientas para automatización de DevSecOps
[table id=5 /]
Herramienta DevSecOps para evaluaciones de seguridad automatizadas
[table id=6 /]
Resumen
Al igual que DevOps, DevSecOps busca lograr una mayor eficiencia y productividad a través de la colaboración en equipo, pero el enfoque de DevSecOps incorpora principios de seguridad.