DevSecOps es un marco de colaboración entre equipos que integra la seguridad en los procesos de DevOps desde el principio, en lugar de esperar a abordar la seguridad en un silo separado. Con un enfoque integrado de DevSecOps, las organizaciones pueden reducir el riesgo de seguridad sin descarrilar los plazos de desarrollo.

Pero, ¿qué significa esto exactamente? ¿En qué se diferencia de DevOps y cuál es el futuro de la relación entre desarrollo, seguridad y operaciones en las empresas?

¿Qué es DevSecOps? La trifecta táctica: desarrollo + seguridad + operaciones


Las iniciativas de DevSecOps no se basan en una tecnología específica. Más bien, se trata de tácticas. Las empresas pueden elegir cualquier combinación de infraestructura, plataformas y software que les ayude a conseguir la integración continua y la entrega continua (CI/CD) de nuevas aplicaciones y servicios al tiempo que incorporan medidas de seguridad. En pocas palabras, conseguir DevSecOps es un cambio cultural, no una cuestión de componentes. Ayudar a todos a trabajar juntos hacia un objetivo común se reduce a una simple declaración de intenciones: Todos son responsables de la seguridad.

En la práctica, DevSecOps conecta tres disciplinas: desarrollo, seguridad y operaciones. Cada una de ellas tiene su propio papel en la implementación exitosa de esta trifecta táctica a escala.

Desarrollo


Los equipos de desarrollo crean y repiten nuevas aplicaciones de software. Esto incluye aplicaciones personalizadas e integradas en la empresa, diseñadas para un propósito único y específico, conexiones impulsadas por la API que salvan la brecha entre los sistemas heredados y los nuevos servicios, y aplicaciones innovadoras que aprovechan el código de fuente abierta para agilizar los procesos.

Las prácticas modernas de desarrollo se basan en modelos ágiles que dan prioridad a la mejora continua frente a los pasos secuenciales de tipo cascada. Si los desarrolladores trabajan de forma aislada sin tener en cuenta las operaciones y la seguridad, las nuevas aplicaciones o características pueden introducir problemas operativos o vulnerabilidades de seguridad que pueden ser costosas y largas de abordar.

Operaciones


Las operaciones se refieren a los procesos de gestión de la funcionalidad del software a lo largo de su ciclo de vida de entrega y uso, incluyendo la supervisión del rendimiento del sistema, la reparación de defectos, las pruebas después de las actualizaciones y los cambios, y la puesta a punto del sistema de lanzamiento del software. DevOps ha ganado terreno en los últimos años como una forma de combinar los principios operativos clave con los ciclos de desarrollo, reconociendo que estos dos procesos deben coexistir. Las operaciones posteriores al desarrollo en silo pueden facilitar la identificación y el tratamiento de posibles problemas, sin embargo, este método requiere que los desarrolladores den vueltas y resuelvan los problemas de software antes de poder avanzar con el nuevo desarrollo, lo que crea una compleja hoja de ruta en lugar de una solución de software racionalizada.

Implementar las operaciones en paralelo con los procesos de desarrollo de software permite a las organizaciones reducir el tiempo de implementación y aumentar la eficiencia general.

Seguridad


A medida que los equipos se dan cuenta de los beneficios y la eficiencia del modelo DevOps, la seguridad de las aplicaciones representa una nueva frontera en el desarrollo de software racionalizado. Históricamente, la seguridad de las aplicaciones se ha abordado una vez finalizado el desarrollo. Sin embargo, este método conlleva problemas. En primer lugar, los equipos de seguridad que trabajan en silos suelen ralentizar el proceso de desarrollo. En segundo lugar, los escaneos estáticos de vulnerabilidades, el método tradicional de seguridad aplicado por los equipos de seguridad, pueden pasar por alto el contexto del tiempo de ejecución, lo que hace que los equipos pierdan tiempo arreglando vulnerabilidades que no están realmente expuestas, y omitiendo vulnerabilidades que pueden estar expuestas en condiciones específicas de tiempo de ejecución.

Al hacer que la seguridad de las aplicaciones forme parte de un proceso DevSecOps unificado, desde el diseño inicial hasta la eventual implementación, las organizaciones pueden alinear los tres componentes más importantes de la creación y entrega de software.

Fuerzas del entorno


Los entornos de TI existen en un estado de cambio casi constante. La rápida adopción de la computación en la nube y de las arquitecturas basadas en contenedores, la adopción masiva de dispositivos móviles y la evolución de las soluciones de inteligencia de software impulsadas por la IA para hacer un seguimiento de los mismos son sólo algunos ejemplos: las soluciones estáticas simplemente no pueden escalar. Y aunque los entornos nativos de la nube introducen una complejidad exponencialmente mayor, las ventajas superan a los inconvenientes.

Lo mismo ocurre con las iniciativas de DevSecOps. Alinear las mejores prácticas de seguridad -como las pruebas continuas, la evaluación de vulnerabilidades y las evaluaciones A/B- sienta las bases para obtener mejores resultados. Adoptar nuevas prácticas culturales puede ser complicado, por lo que las empresas deben evaluar lo que implica antes de hacer el cambio. Por ejemplo, puede ser necesario volver a capacitar a los equipos de desarrollo en las mejores prácticas de seguridad. Las empresas también pueden querer desplegar tecnologías capaces de detectar e informar sobre las vulnerabilidades de seguridad, independientemente del lugar en el que aparezcan en la pila de aplicaciones.

Reto aceptado


La seguridad es una misión interminable, especialmente porque las propias tecnologías de computación en la nube están en constante evolución. DevSecOps ofrece a las empresas una forma de empezar a construir una estrategia de seguridad eficaz para hacer frente a estos retos. Al hacer que la seguridad de las aplicaciones forme parte del proceso de desarrollo y operaciones, las organizaciones eliminan pasos adicionales y agilizan el proceso de entrega de valor a los clientes. Cuando la seguridad de las aplicaciones comienza con la primera línea de código y se convierte en parte integrante del proceso de desarrollo y entrega, las organizaciones pueden crear iniciativas de DevSecOps que ofrecen información crítica y vías claras para la corrección en tiempo real.

¿Qué es DevSecOps? Es un cambio táctico y cultural diseñado para desarrollar procesos de TI cohesivos, ágiles y adaptables a escala.

Aprenda más sobre el nuevo módulo de seguridad de aplicaciones de Dynatrace y cómo Dynatrace está ayudando a las organizaciones a acelerar sus iniciativas de DevSecOps.

Fuente: Dynatrace