Evolucionando hacia DevSecOps

Evolucionando hacia DevSecOps

En los anteriores años hemos visto transformaciones digitales y estructurales en compañías hacia el DevOps. Pero esto no está siendo suficiente para adaptarse a las necesidades de las compañías. Ahora es el momento de pasar a DevSecOps. ¿Has comenzado?

Deloitte define DevSecOps como “Un cambio transformador que incorpora cultura, prácticas y herramientas seguras para impulsar la visibilidad, colaboración y agilidad de la seguridad en cada fase de la canalización de DevOps”. Por eso hablamos de un proceso transformador, y no solamente como el uso de librerías, herramientas o procesos aislados para analizar la seguridad.

La seguridad en el software y las aplicaciones, se ha vuelto cada vez más crítica, debido a los continuos ataques a sus aplicaciones e infraestructuras.

Del DevOps al DevSecOps

En la mayoría de las corporaciones y empresas, se había estado evolucionando hacia una filosofía DevOps, donde ya no tenías en otro equipo a las personas de sistemas y los de QA, sino que estaban integrados en el mismo equipo. Con estas nuevas configuraciones de equipos y cambio de cultura, se conseguían despliegues más rápidos, código de mayor calidad, menos errores, etc… Pero dentro de esta ecuación, se había dejado fuera, la parte de seguridad.

En algunas empresas ejecutaban software específico para ver si había algún problema de seguridad, pero volvíamos a tener el mismo problema que teníamos anteriormente con los equipos, y es que los desarrolladores y los ops, consideraban que la seguridad no era su responsabilidad. Esto podía provocar, que en grandes empresas, se intentarán pasar esas validaciones de seguridad con un mínimo, para poder desplegar las aplicaciones rápidamente. Más en las grandes, dado que en muchas pequeñas empresas, al ser los equipos tan pequeños, todo el equipo se encarga de todas las tareas, incluida la seguridad. Y aunque no tengan conocimientos tan específicos, intentan cubrir todas las vulnerabilidades.

¿Cómo integramos DevSecOps en nuestra empresa?

Para poder integrar en nuestra empresa DevSecOps, deberemos tener en cuenta:

En el caso de que solo lo queramos aplicar a proyectos y no todo el cambio transformacional, lo aconsejable sería primero aplicar herramientas de validación de seguridad a nuestro código e infraestructura, para posteriormente ir formando a nuestros equipos en estas buenas prácticas. Algunas de las herramientas que podríamos tener en cuenta serían:

Además, actualmente existen diferentes centros de formación y asociaciones donde podremos encontrar contenido específico y roadmaps entorno a estos contenidos, que nos facilitarían dichas formaciones y obtener certificaciones para ser expertos. Un ejemplo de ello sería DASA (DevOps AgileSkills Association), que además soy embassador de esta asociación, colaborando para compartir conocimientos de DevOps en Europa.

Podemos centrarnos solamente en que nuestro proyecto sea seguro, teniendo a nuestros desarrolladores y ops formados en temas de seguridad. Pero el gran cambio y mejora para las empresas, es incluir el concepto/filosofía DevSecOps en las compañías, llegando a definir el alcance de la seguridad, los objetivos y hoja de ruta, alinear el modelo de seguridad, etc… dado que si no, no estaremos garantizando que las aplicaciones e infraestructura sea segura.

Más artículos de Jesús Cuesta 

Bibliografía

• https://www2.deloitte.com/content/dam/Deloitte/global/Documents/About-Deloitte/DevSecOps-Explained.pdf

• https://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-integrating-and-automating-security-into-a-devsecops-model.pdf

• https://digital.ai/periodic-table-of-devops-tools

• https://www.devopsagileskills.org/certificaciones/dasa-devops-fundamentals/

• https://www.devopsagileskills.org/ambassador/jesus-cuesta/