Es fácil comprender por qué la seguridad se ha convertido en la principal preocupación para las empresas hoy en día. El cloud computing, el acceso a internet, la globalización y el uso de teléfonos móviles ha cambiado el escenario principal en el que operan las empresas, añadiendo muchos riesgos de seguridad a sus sistemas e información.
DevSecOps es una nueva metodología de trabajo que viene a potenciar la filosofía DevOps, añadiendo el componente de la seguridad en todo el proceso de desarrollo, ayudando a instaurar una cultura en seguridad a todos los niveles de una empresa.
Qué es DevSecOps
DevSecOps es una filosofía de trabajo que integra el componente de seguridad en todos los niveles del proceso de desarrollo de software. Con DevSecOps se añade un nuevo actor a la metodología DevOps, donde Dev hace referencia a los desarrolladores (developers), Ops a operaciones (operations) y Sec a seguridad (security).
En la nueva metodología DevSecOps el departamento de seguridad pasa a formar parte del equipo de trabajo, uniéndose a los equipos de desarrollo y operaciones en todas las fases del desarrollo de aplicaciones. La seguridad deja de ser parte exclusiva del departamento de seguridad y pasa a ser responsabilidad de todos los miembros de la empresa, estando presente en todo el proceso de desarrollo y despliegue.
La automatización es muy importante en DevSecOps, ya que la ejecución de pruebas y test de forma manual requiere de mucho tiempo y esfuerzo, además de estar sujeta a un alto número de errores (en comparación a los mismos procesos automatizados).
Diferencias entre DevOps y DevSecOps
DevSecOps es una evolución de la filosofía DevOps para adaptarla a las necesidades actuales de las empresas, donde la seguridad se sitúa en una de las prioridades a la hora de realizar todos sus procesos y tareas.
Qué no es DevSecOps
DevSecOps no consiste en dotar a las aplicaciones de una capa externa de seguridad, se trata de integrar la seguridad en cada uno de los procesos y decisiones que se toman durante el desarrollo.
Con DevSecOps se abandona la práctica tradicional de dotar al software de un perímetro de seguridad, integrando la seguridad en cada uno de los pasos que se dan durante el desarrollo.
Cuáles son las ventajas que aporta DevSecOps
DevSecOps adapta la metodología DevSecOps a un entorno donde la seguridad es primordial. Las ventajas de abrazar la filosofía DevSecOps para una empresa son:
Garantizar la entrega
Los problemas de seguridad son uno de los principales motivos por los que la entrega de software se retrasa. El proceso para corregir el código y eliminar problemas relacionados con la seguridad requiere mucho tiempo y, por consiguiente, prolongará el tiempo necesario para entregar el producto.
Con la seguridad integrada se reducen las revisiones redundantes y el número de compilaciones innecesarias, acelerando los tiempos de entrega y garantizando un alto nivel de seguridad.
Reducción de costes
Al igual que ocurre con los tiempos de entrega, los costes también se reducen al no tener que estar realizando constantes cambios por razones de seguridad. Con una planificación y participación de los equipos de seguridad en todas las fases de desarrollo, se minimizan los problemas relacionados con la seguridad, consiguiendo una entrega con menor coste.
Incrementa el nivel de seguridad
El producto final tendrá un mayor nivel de calidad al introducirse una seguridad proactiva en todo el proceso de desarrollo. No solo el producto entregado es más seguro con DevSecOps, sino que a la hora de responder a incidencias (como aplicar parches para eliminar vulnerabilidades, por ejemplo), se reacciona de forma más rápida y eficiente.
Automatización de pruebas de seguridad a todos los niveles
Con DevSecOps se añaden test y comprobaciones de seguridad automatizadas en todas las fases de desarrollo, consiguiendo implementar un mayor nivel de seguridad en un sistema de integración continua y entrega continua. Estas pruebas garantizan que el código pasa a la siguiente fase con un nivel de seguridad adecuado.
La automatización del proceso de gestión de vulnerabilidades y el escaneo de la configuración de código abierto son dos de las iniciativas DevSecOps más utilizadas.
Cómo se aplica DevSecOps
Las prácticas DevOps deben adaptarse a pautas de seguridad dinámicas, más apropiadas para las nuevas tecnologías en la nube, donde políticas de seguridad y otros test estáticos no tienen sentido. Para trabajar en cloud DevSecOps es la mejor opción donde es necesario priorizar la seguridad para permitir entregar aplicaciones realmente seguras y confiables a los clientes.
El proceso o DevSecOps process para implementar esta metodología requiere tener en cuenta algunos aspectos importantes:
- Es necesario realizar un análisis del código en todas las fases de desarrollo, prestando especial atención a la detección de vulnerabilidades.
- Identificación de las amenazas a las que se expone cada actualización o modificación del código, para poder tener preparada una respuesta inmediata en caso de que se produzca.
- Análisis de vulnerabilidades para precisar los tiempos de respuesta y parcheado.
- Sistema de revisión de las modificaciones de código para garantizar su beneficio en relación con la seguridad.
- Implementar un sistema de monitorización en todas las fases para garantizar el cumplimiento de las políticas de seguridad, y para poder estar listos para una auditoría en cualquier momento.
- Fomentar las buenas prácticas en seguridad a todos los niveles de la empresa (como con formación específica para los equipos de desarrollo y operaciones, por ejemplo). El equipo de seguridad debe fomentar la cultura de la seguridad por diseño en todos los equipos de trabajo y miembros de la empresa.
- Utilizar las herramientas de seguridad adecuadas para evitar la creación de cuellos de botella durante las distintas fases del desarrollo. Apostar por herramientas de seguridad automatizadas y por metodologías ágiles es la mejor alternativa para que los procesos de seguridad implementados fluyan al mismo ritmo que el desarrollo.
DevSecOps tiene entre sus principales objetivos descentralizar la seguridad de una empresa, compartiendo la responsabilidad del departamento de seguridad, con el resto de áreas de la empresa.
La seguridad debe ser un requisito más dentro del flujo de desarrollo, con la misma importancia que pueden tener otros aspectos (como puede ser el rendimiento).
Gracias a la filosofía DevSecOps, no solo se estará listo para reaccionar de forma rápida y efectiva ante un ataque, sino que se está preparado para evitar que sucedan.
