DevSecOps puede reducir drásticamente el riesgo cibernético para las organizaciones, en particular aquellas que dependen del desarrollo interno para obtener una ventaja competitiva.
Sin embargo, para ser un término que ha existido durante años, la terminología de DevSecOps aún no se comprende bien.
En este artículo, explicare qué es DevSecOps, en qué se diferencia de DevOps y qué controles de seguridad debería incorporar.
¿Cuál es la diferencia entre DevOps y DevSecOps?
La forma más sencilla de explicar la diferencia entre DevOps y DecSecOps es comparar sus definiciones.
DevOps es una combinación de desarrollo y operaciones destinada a permitir que los equipos de ingeniería desarrollen software de manera más rápida y eficiente.
El objetivo final es crear un ciclo de vida de desarrollo más ágil que permita a las organizaciones crear y actualizar rápidamente aplicaciones y activos de software, brindando una mejor experiencia al cliente y una ventaja competitiva significativa.
DevSecOps es una combinación de desarrollo, operaciones y seguridad. Su objetivo es integrar completamente los componentes de seguridad en las canalizaciones de DevOps, manteniendo la velocidad y la agilidad al tiempo que garantiza que el software sea resistente a las ciberamenazas.
El equipo de seguridad generalmente admite agregar el “Sec” en DevSecOps, pero los equipos de ingeniería asumen la responsabilidad final de garantizar que el código que producen sea seguro.
Tanto las canalizaciones de DevOps como DevSecOps suelen incluir un alto grado de automatización para permitir un desarrollo rápido y preciso que respalde los objetivos comerciales sin sacrificar la calidad del software.
Existe un argumento de que DevOps y DevSecOps son lo mismo. El renombrado orador de DevSecOps, Larry Maccherone, a menudo ha descrito la seguridad como un componente imprescindible en la calidad del software.
En otras palabras, si un activo de software no es seguro, debe considerarse igualmente importante que si un activo no funciona
Si bien, este argumento tiene una lógica clara, en la práctica, la mayoría de las personas consideran que DevSecOps es el término adecuado para una canalización de DevOps que incluye seguridad integrada.
¿Por qué es importante DevSecOps?
Hoy en día, las organizaciones confían en una matriz compleja de infraestructura local, en la nube e híbrida para habilitar sus operaciones.
Esta complejidad se ve agravada por la creación continua de aplicaciones de software, microservicios y contenedores en la nube nuevos y actualizados para organizaciones que desarrollan software internamente.
Cada vez que se crea o cambia un activo o componente orientado a Internet, existe el riesgo de que una vulnerabilidad o una configuración incorrecta lo deje vulnerable a un ataque.
Acelerar el desarrollo, automatizar los componentes de la entrega de aplicaciones y otras complejidades, como dividir el software en microservicios, solamente agravan este riesgo.
Es fácil cometer errores menores durante el proceso de desarrollo, lo que deja un activo completamente expuesto a ciberataques básicos.
De manera similar, los equipos de ingeniería modernos utilizan varias herramientas para automatizar tareas relacionadas, como la configuración y el mantenimiento de servidores, contenedores, repositorios de códigos o registros de imágenes, que también pueden quedar vulnerables.
En última instancia, las canalizaciones de DevOps brindan un valor comercial claro, pero también son una fuente importante de riesgo.
Es por ello que el “Sec” en DevSecOps es tan importante.
Con tanto en juego, proteger el software y la arquitectura de desarrollo no puede ser un apartado más y sin demasiada importancia; debe ser integrado en el proceso del desarrollo, como un apartado vital más.
¿Qué es la seguridad DevOps?
Es fácil decir, “incorpora seguridad en la canalización de DevOps”. Pero, ¿Qué significa eso exactamente?
Bien, eso significa integrar completamente varias prácticas de seguridad en el proceso de desarrollo para detectar defectos de seguridad antes de que el código se envíe a producción.
Defectos como:
- Vulnerabilidades (p. ej., debilidad ante las 10 amenazas principales de OWASP).
- Credenciales y secretos implementados de forma insegura.
- Controles de acceso mal configurados.
10 Principales riesgos de seguridad de las aplicaciones web (by OWASP)
No todas las prácticas de seguridad se pueden integrar con éxito en una canalización de desarrollo sin ralentizar significativamente las cosas.
Sin embargo, una canalización de DevSecOps puede incorporar muchos procesos, herramientas y servicios de seguridad.
Pero, ¿Cómo se construyen procesos más lentos como pentesting en una tubería de desarrollo sin afectar el tiempo de comercialización?
La respuesta es: Separando las prácticas de seguridad en “dentro de banda” y “fuera de banda”.
Prácticas en banda
Las prácticas en banda se pueden integrar fácilmente en la canalización sin causar retrasos significativos. Esto incluye controles como:
Prácticas de codificación seguras
Estos son cruciales para minimizar la presencia de vulnerabilidades en el código escrito. Si bien las vulnerabilidades se pueden encontrar más tarde, la capacidad del equipo para impulsar el código rápidamente depende de poder escribir código que en *su mayoría esté* libre de problemas desde el principio.
Escáneres automáticos de códigos
Los escáneres SAST, DAST e IAST descubren vulnerabilidades en el código fuente y las aplicaciones compiladas.
Revisión del código de pares
Esto requiere mucha mano de obra pero es importante para encontrar vulnerabilidades que pueden no ser evidentes para una máquina, por ejemplo, aquellas causadas por problemas lógicos.
Por lo general, se puede completar una revisión del código entre pares antes de los lanzamientos de productos y actualizaciones importantes, pero no necesariamente para cada inserción de código.
Análisis de composición de software (SCA)
Estas herramientas de escaneo buscan vulnerabilidades en dependencias como bibliotecas de software y proyectos de código abierto.
Las prácticas fuera de banda son más lentas y ocurren junto con la canalización de desarrollo sin retrasar los impulsos de código.
Cuando los resultados de las prácticas fuera de banda están disponibles, se retroalimentan a la canalización para eliminar las vulnerabilidades de seguridad de versiones futuras.
Prácticas fuera de banda
Las prácticas fuera de banda incluyen:
Pentests y evaluaciones de seguridad
Estos pueden tardar días o semanas en completarse, pero son cruciales para garantizar la seguridad de una aplicación o activo de software.
Programas de divulgación de vulnerabilidades y recompensas por errores (VDP)
Estas son fuentes continuas de información de seguridad que pueden alimentar fácilmente nuevos impulsos de código.
Las prácticas de seguridad combinadas en banda y fuera de banda reducen sustancialmente el riesgo de enviar código vulnerable, lo que a su vez puede reducir significativamente el riesgo cibernético de una organización.
Relacionado
Como una de las estructuras de control básicas en la programación, los bucles son casi una adición diaria al código que escribimos. El bucle forEach clásico es uno de los primeros fragmentos de código que aprendemos a escribir como programadores. Si fueras un desarrollador de Javascript, sabrías que Javascript no es ajeno a la iteración a través de los elementos de una matriz o un mapa ¡SEGUIR LEYENDO!
Como sabemos, Sci-hub es un sitio web increíble con millones de artículos de investigación para todos los estudiantes universitarios y académicos. El sitio web de Sci-Hub se encarga de obtener los artículos de investigación y artículos de pago utilizando las credenciales que se filtran. La fuente de credenciales utilizada por este sitio web no está clara. Sin embargo, se supone que muchas de ellas son donadas, ¡SEGUIR LEYENDO!
Aunque haya sido usuario de Windows durante décadas, el sistema operativo es tan amplio y complejo que siempre existen características útiles, pero menos conocidas, que podrían sorprenderte. En este sentido, he identificado diez funciones poco conocidas de Windows que pueden potenciar su eficiencia, comodidad e incluso su experiencia de uso lúdico en su PC.
- Procesador Dual-Core Intel Pentium Gold 4425Y (2...
- Memoria RAM de 8 GB LPDDR3
- Disco SSD de 128 GB
El rumor en torno a las criptomonedas no se desvanece por mucho que existan grandes pesimistas alrededor de los malos rumores. Entonces, si consideras invertir en el mundo de las criptomonedas, deberías estar atento a las criptomonedas que se espera que tengan un buen desempeño para el resto de 2021. En los últimos tiempos, los tokens DeFi están recibiendo toda la atención y es más que ¡SEGUIR LEYENDO!
Los cambios de paradigma revolucionarios debido a los desarrollos de la robótica en todo el mundo están generando nuevos puntos de vista en muchos sectores, entre ellos en los de la industria y la tecnología. Con la ayuda de la Inteligencia Artificial, la tecnología produce resultados innovadores cada segundo y el campo de la robótica define y reconfigura su uso a cada instante. Cada día que ¡SEGUIR LEYENDO!
Bienvenidos desarrolladores web y de software, estamos en los inicios de 2023 y es posible que muchos se esten planteado sus objetivos para lo largo del año. Con anterioridad ya he compartidos las rutas de aprendizaje para un desarrollador front-end, un desarrollador full-stack o un desarrollador back-end entre otros muchos contenidos más. En este artículo, me gustaría compartir algunos de los mejores frameworks y bibliotecas para ¡SEGUIR LEYENDO!
GitHub es el lugar que debes buscar cuando intentas mejorar como desarrollador, toda la información que necesitas está disponible en algún repositorio que alguien ya se ha molestado en indexar. Sin embargo, la parte complicado es encontrar el repositorio más adecuado. Es fácil sentirse perdido en todos los repositorios disponibles dentro de GitHub. Para ayudarte, he elaborado una lista de 10 repositorios de GitHub que pueden ¡SEGUIR LEYENDO!