¡Bienvenidos y bienvenidas! En este artículo estudiaremos brevemente de qué se trata DevSecOps, este "rol" que nace de la practica de DevOps pero adquiere un matiz fuertemente orientado a las practicas de Seguridad Informática en el proceso de desarrollo de un producto.
En el ámbito del desarrollo ágil de software, la seguridad de los productos adquiere un papel cada vez más importante.
Agilidad y Devops Seguro - Google
En una época en la que, tanto la integración, como las entregas, aspiran a ser continuas (continuous integration,continuous delivery), no debe menospreciarse el desafío que supone el proceso de desarrollo.
Podemos ver que se añadió la seguridad como parte "integrada" del proceso
Por este motivo, cada vez más empresas adoptan el enfoque DevOps, que entrelaza desde el inicio los procesos de desarrollo (development) y los de ejecución o de operaciones (operations), y lo amplían con componentes de seguridad (security): de ahí el acrónimo DevSecOps.
¿Qué aporta DevSecOps? Aporta el matiz mas importante, el cual es trabajar de manera íntegra, inteligente y desde las bases, la seguridad tanto en el código, en los procesos, en la CI (Integración Continua)y la CD (Distribución Continua) en el análisis de vulnerabilidades y "practicas incorrectas" de seguridad en el código estático, y en su experiencia dinámica en funcionamiento, así como en los entornos considerados "bajos" como Dev y Stage, este tipo de abordaje, ofrece garantías de que el producto no será "Vulnerado" como exploits de Dia 0 - Zero Day, y ofrece un enfoque mas honesto sobre la "calidad del producto" un producto de calidad como el software, debe ser un producto, seguro
Gino Luciano Rojo - EducaciónIT
DevSecOps – Definiéndolo en Pocas Palabras
DevSecOps permite utilizar de manera óptima la agilidad y la rapidez de reacción que ofrece el enfoque Devops en la creación de software
En este sistema, los mecanismos de seguridad están integrados en el proceso ya desde el inicio del desarrollo.
Esta es una de las claras diferencias entre el sistema DevSecOps y los enfoques convencionales, en los que los equipos de seguridad suelen aplicar las medidas correspondientes una vez se ha finalizado el producto en sí.
¿Por qué la seguridad integrada es tan importante?
Desde hace algunos años, la seguridad viene ganando cada vez más importancia en el ámbito del desarrollo de software. En especial, cuando se trata de procesos cortos de desarrollo, que tienen que producirse cada vez con más rapidez entre las versiones, el cumplimiento de los estándares de seguridad es todo un desafío, ya que llegar a cumplir los estándares de Seguridad y al mismo tiempo, cumplir con las metas de desarrollo y con los tiempos de entrega de cada release, es., un desafío a afrontar
En este contexto, si se deja la seguridad para el final, tras la fase de desarrollo en sí, puede que no se logre alcanzar tales estándares.
En muchos casos, las empresas tienen que elegir entre un alto nivel de seguridad, que requiere una gran inversión de tiempo, o ciclos cortos de lanzamiento que renuncian a la seguridad.
DevSecOps - Agility and Security - Google
Ante estas opciones, muchas compañías se deciden por la segunda. DevSecOps, en cambio, ofrece una solución que reúne las ventajas de las dos anteriores: un alto nivel de seguridad y ciclos cortos de lanzamiento de productos.
¿Es un jardín de rosas DevSecOps?
Al igual que ocurre con DevOps, que DevSecOps se implemente de forma adecuada y eficiente depende de cómo se adapten los equipos y miembros de la empresa al cambio que supone.
Sin embargo, es extremadamente necesario que todas las capas envueltas en el desarrollo de software bajo "Devops" como managment, finanzas, desarrolladores y operaciones, esten de acuerdo sobre este approach
Por este motivo, es importante que la dirección, además de comunicar las ventajas que el nuevo sistema trae consigo, involucre a los distintos departamentos y a los trabajadores en la toma de decisiones que conlleven cambios.
Ionos - Extracto de DevSecOps y Liderazgo
DevSecOps se integra con Contenedores y Microservicios
La mayor escalabilidad y la infraestructura más dinámica habilitadas por los contenedores han cambiado la forma de hacer negocios de muchas empresas. Debido a esto, las prácticas de seguridad de DevOps deben adaptarse al nuevo panorama y ajustarse a las pautas de seguridad específicas de los contenedores.
Las tecnologías nativas de la nube no son adecuadas para las listas de verificación y las políticas de seguridad estáticas. Por el contrario, la seguridad debe ser constante y estar integrada en cada etapa del ciclo de vida de la aplicación y la infraestructura.
https://csrc.nist.gov/publications/detail/nistir/8176/final
DevSecOps significa integrar la seguridad al desarrollo de las aplicaciones durante todo el proceso. Esta integración no solo requiere las nuevas herramientas, sino también un enfoque organizativo distinto.
Hasta aquí hemos llegado el día de hoy, espero sea de su agrado este humilde articulo, ¡nos vemos en otra edición de DevOps 101!
Gino.
Los equipos de DevOps deben tenerlo en mente al automatizar la seguridad para proteger el entorno y los datos en general, así como el proceso de integración y distribución continuas; un objetivo que probablemente incluya la seguridad de los microservicios en contenedores.
https://csrc.nist.gov/publications/detail/nistir/8176/final
Creo que estos roles son muy buenos y técnicos a la vez, pero a la vez me parece en ocasiones que "el que mucho abarca poco aprieta", por lo que hay que tener en cuenta que cumplir al 100% todos estos aspectos no siempre se puede lograr, todo de acuerdo a los entornos y recursos que se cuente. Por eso es importante hacer un análisis de costos.