És fàcil comprendre per què la seguretat s’ha convertit en la principal preocupació per les empreses avui dia. El cloud computing, l’accés a internet, la globalització i l’ús de telèfons mòbils ha canviat l’escenari principal en el qual operen les empreses, afegint molts riscos de seguretat als seus sistemes i informació.
DevSecOps és una nova metodologia de treball que ve a potenciar la filosofia DevOps, afegint el component de la seguretat en tot el procés de desenvolupament, ajudant a instaurar una cultura en seguretat a tots els nivells d’una empresa.
Què és DevSecOps
DevSecOps és una filosofia de treball que integra el component de seguretat en tots els nivells del procés de desenvolupament de software. Amb DevSecOps s’afegeix un nou actor a la metodologia DevOps, on Dev fa referència als desenvolupadors (developers), Ops a operacions (operations) i Sec a seguretat (security).
En la nova metodologia DevSecOps el departament de seguretat passa a formar part de l’equip de treball, unint-se als equips de desenvolupament i operacions en totes les fases del desenvolupament d’aplicacions. La seguretat deixa de ser part exclusiva del departament de seguretat i passa a ser responsabilitat de tots els membres de l’empresa, sent present en tot el procés de desenvolupament i desplegament.
L’automatització és molt important en DevSecOps, ja que l’execució de proves i test de manera manual requereix molt de temps i esforç, a més d’estar subjecta a un alt nombre d’errors (en comparació als mateixos processos automatitzats).
Diferències entre DevOps i DevSecOps
DevSecOps és una evolució de la filosofia DevOps per adaptar-la a les necessitats actuals de les empreses, on la seguretat se situa en una de les prioritats a l’hora de realitzar tots els seus processos i tasques.
Què no és DevSecOps
DevSecOps no consisteix a dotar a les aplicacions d’una capa externa de seguretat, es tracta d’integrar la seguretat en cadascun dels processos i decisions que es prenen durant el desenvolupament.
Amb DevSecOps s’abandona la pràctica tradicional de dotar al software d’un perímetre de seguretat, integrant la seguretat en cadascun dels passos que es donen durant el desenvolupament.
Quins són els avantatges que aporta DevSecOps
DevSecOps adapta la metodologia DevSecOps a un entorn on la seguretat és primordial. Els avantatges d’abraçar la filosofia DevSecOps per a una empresa són:
Garantir l’entrega
Els problemes de seguretat són un dels principals motius pels quals el lliurament de software es retarda. El procés per corregir el codi i eliminar problemes relacionats amb la seguretat requereix molt temps i, per consegüent, prolongarà el temps necessari per lliurar el producte.
Amb la seguretat integrada es redueixen les revisions redundants i el nombre de compilacions innecessàries, accelerant els temps de lliurament i garantint un alt nivell de seguretat.
Reducció de costos
Igual que ocorre amb els temps de lliurament, els costos també es redueixen, ja que no s’ha d’estar fent constants canvis per raons de seguretat. Amb una planificació i participació dels equips de seguretat en totes les fases de desenvolupament, es minimitzen els problemes relacionats amb la seguretat, aconseguint un lliurament amb menor cost.
Incrementa el nivell de seguretat
El producte final tindrà un major nivell de qualitat en introduir-se una seguretat proactiva en tot el procés de desenvolupament. No només el producte lliurat és més segur amb DevSecOps, sinó que a l’hora de respondre a incidències (com aplicar pegats per a eliminar vulnerabilitats, per exemple), es reacciona de forma més ràpida i eficient.
Automatització de proves de seguretat a tots els nivells
Amb DevSecOps s’afegeixen test i comprovacions de seguretat automatitzades en totes les fases de desenvolupament, aconseguint implementar un major nivell de seguretat en un sistema d’integració contínua i lliurament continu. Aquestes proves garanteixen que el codi passa a la següent fase amb un nivell de seguretat adequat.
L’automatització del procés de gestió de vulnerabilitats i l’escaneig de la configuració de codi obert són dues de les iniciatives DevSecOps més utilitzades.
Com s’aplica DevSecOps
Les pràctiques DevOps han d’adaptar-se a pautes de seguretat dinàmiques, més apropiades per a les noves tecnologies en el núvol, on polítiques de seguretat i altres tests estàtics no tenen sentit. Per treballar en cloud DevSecOps és la millor opció on és necessari prioritzar la seguretat per permetre lliurar aplicacions realment segures i de confiança als clients.
El procés o DevSecOps process per implementar aquesta metodologia requereix tenir en compte alguns aspectes importants:
- És necessari elaborar una anàlisi del codi en totes les fases de desenvolupament, prestant especial atenció a la detecció de vulnerabilitats.
- Identificació de les amenaces a les quals s’exposa cada actualització o modificació del codi, per poder tenir preparada una resposta immediata en cas que es produeixi.
- Anàlisi de vulnerabilitats per precisar els temps de resposta i apedaçament.
- Sistema de revisió de les modificacions de codi per garantir el seu benefici en relació amb la seguretat.
- Implementar un sistema de monitoratge en totes les fases per garantir el compliment de les polítiques de seguretat, i per a poder estar llestos per a una auditoria en qualsevol moment.
- Fomentar les bones pràctiques en seguretat a tots els nivells de l’empresa (com amb formació específica per als equips de desenvolupament i operacions, per exemple). L’equip de seguretat ha de fomentar la cultura de la seguretat per disseny en tots els equips de treball i membres de l’empresa.
- Utilitzar les eines de seguretat adequades per evitar la creació de colls d’ampolla durant les diferents fases del desenvolupament. Apostar per eines de seguretat automatitzades i per metodologies àgils és la millor alternativa perquè els processos de seguretat implementats flueixin al mateix ritme que el desenvolupament.
DevSecOps té entre els seus principals objectius descentralitzar la seguretat d’una empresa, compartint la responsabilitat del departament de seguretat, amb la resta d’àrees de l’empresa.
La seguretat ha de ser un requisit més dins del flux de desenvolupament, amb la mateixa importància que poden tenir altres aspectes (com pot ser el rendiment).
Gràcies a la filosofia DevSecOps, no només s’estarà llest per reaccionar de manera ràpida i efectiva davant un atac, sinó que s’està preparat per evitar que succeeixin.
