HayCanal.com

Alcanzar con éxito una estrategia DevSecOps

Alcanzar con éxito una estrategia DevSecOps

El objetivo de la seguridad en el desarrollo de operaciones, conocido como DevSecOps, es construir un puente entre la rapidez y la seguridad en la creación de software.

Hay quien sostiene que la base para elaborar e implantar con éxito una iniciativa DevOps o DevSecOps es tener una mentalidad correcta en lo que se refiere a la calidad del desarrollo, pero también sobre los procesos que apoyan la mejora continua y el aprendizaje constante a la alta velocidad que se requiere hoy en día.

Sin embargo, alcanzar con éxito el DevSecOps no es posible sin las tecnologías adecuadas para integrar la seguridad en todo el ciclo de vida del software. Veracode, compañía líder en dotar de seguridad al software, explica 5 consejos para implementar una estrategia de DevSecOps exitosa que puede a ayudar a transformar la cultura, los procesos y la tecnología para incluir la seguridad en iniciativas DevOps:

1. Automatizar la seguridad. La capacidad de automatizar las pruebas de seguridad a través de secuencias de comandos, análisis estáticos y dinámicos, análisis de librerías de código abierto (“Software Composition Analysis” o SCA, en inglés) e integración de pruebas dentro de las herramientas y procesos existentes contribuye en gran medida a identificar fallos al inicio del ciclo de vida del código y a acelerar una entrega segura del mismo.

2. Detectar vulnerabilidades de forma temprana. DevSecOps parte de la premisa de que es aconsejable que los fallos se produzcan en el ordenador del desarrollador cuando está creando el software antes que en el dispositivo del cliente. La búsqueda temprana de vulnerabilidades en el código requiere el uso complementos en el entorno de desarrollo integrado (IDE) que brinden información instantánea y sirvan de guía según se detecten las brechas, cambiando la seguridad para responder pronto en el ciclo de vida del desarrollo.

3. No aceptar altas tasas de falsos positivos. Lograr el enfoque anterior requiere del uso de tecnología que pueda proporcionar resultados válidos a través de informes y dashboards, creando así visibilidad operativa para los equipos de desarrollo y de seguridad. Mantener los falsos positivos bajos permite que dichos equipos confíen en que las herramientas de seguridad empleadas no suponen un trabajo extra para ellos, eliminando la “fatiga de alerta” y mejorando la eficiencia y los tiempos de respuesta ante incidentes.

4. Emplear software de análisis de composición. Las herramientas de SCA pueden escanear aplicaciones completas y componentes de código abierto para garantizar que los equipos de desarrollo no incluyan involuntariamente código con vulnerabilidades conocidas. Además, el análisis de composición permite crear un inventario de los componentes que se están utilizando, por lo que es más fácil localizarlos y actualizarlos cuando se revela una vulnerabilidad.

En agosto de 2019, se descubrió una vulnerabilidad en el proxy web de Squid que permitía a los hackers enviar una solicitud diseñada al servidor de destino, lo que resultó en la ejecución del código en el contexto del proceso de Squid. Según los investigadores, una explotación exitosa podría haber dado como resultado que el atacante pudiera ejecutar código arbitrario con los privilegios del proceso del servidor, mientras que un ataque fallido podría haber provocado que el proceso del servidor terminara de manera anormal.

5. Enfatizar en las necesidades de los desarrolladores. Algunos olvidan que solo el equipo de desarrollo puede solucionar las brechas de seguridad. Sin embargo, muchos equipos de seguridad no tienen banda ancha para autorizar a los desarrolladores, por lo que no pueden reducir el riesgo o la deuda de seguridad con facilidad, igual que tampoco pueden minimizar la acumulación de fallos sin resolver que perduran en el tiempo. Los mejores programas AppSec permiten a los desarrolladores: realizar feedback de seguridad en el IDE en segundos; proporcionar recomendaciones sobre cómo solucionar fallos al mismo tiempo que los encuentran; dar asesoramiento automatizado; hacer revisiones del código con expertos en codificación segura; capacitar a los desarrolladores en seguridad; y crear programas de campeones de seguridad (security champions program, en inglés).

Lograr el DevSecOps supone muchas oportunidades para los desarrolladores y equipos de IT, pero también implica ciertos retos. Utilizar plataformas de AppSec exahustivas es fundamental para alcanzar con éxito esta estrategia, y para ello hay que tener siempre presente el fin en sí mismo: brindar a los desarrolladores herramientas rápidas y precisas, así como oportunidades de aprendizaje para permitirles integrar la seguridad en su trabajo”, señala Alejandro Novo, director de Veracode en España, Portugal e Italia. “Junto a esto, DevSecOps también requiere de procesos robustos vinculados a métricas y a indicadores clave del rendimiento para permitir que la gestión y la organización de seguridad comprendan el valor de AppSec”, añade.

Apps De Gestión Seguridad Software

Otras noticias de interés

Noticias que marcan tendencia en el sector IT

1. Fernando Feliu desgrana las ventajas de la plataforma abierta de Virtual Cable

2. Extreme Networks celebra su conferencia de usuarios centrada en la IA aplicada al networking

3. Aslan entrega sus galardones de 2024 a la AAPP

4. Elena Cerrada explica en qué consiste la gestión de identidades de SailPoint

5. TD SYNNEX Datech introduce las soluciones de gemelos digitales de Unity en España y Portugal

Últimas Noticias

1. Faltan prompt engineers para desarrollar la IA en España

2. Workforce Management en el teletrabajo

3. En 2023, se produjeron más de 32 millones de ataques con programas de robo de contraseñas

4. Microsoft impulsa las vocaciones STEM y las capacidades digitales de más de 5.400 estudiantes en España

5. Bitdefender lanza Voyager Ventures para impulsar la innovación

Nombramientos