DevSecOps: ¿de qué se trata, para qué sirve y a qué se debe su importancia?

In IT Operations, Software by Baufest

Datos de Gartner indican que el porcentaje de equipos de desarrollo de software que usan DevOPs pasará del 15% registrado en 2017 a un contundente 80% en 2021.

martes 10 - diciembre - 2019
Baufest
DevOPs

Datos de Gartner indican que el porcentaje de equipos de desarrollo de software que usan DevOPs pasará del 15% registrado en 2017 a un contundente 80% en 2021.

Cabe recordar que DevOps es «una cultura centrada en la entrega rápida de servicios de TI a través de la adopción de prácticas ágiles y ajustadas en el contexto de un enfoque orientado al sistema«. Además, la consultora anticipaba que para 2019 más del 70% de las iniciativas empresariales DevSecOps habrían incorporado la detección automática de vulnerabilidades de seguridad informática y configuración para componentes de código abierto y paquetes comerciales, en comparación con menos del 10% en 2016.

Ahora bien, ¿qué es concretamente DevSecOps? Es una filosofía y una metodología en la que la seguridad se integra en todos los flujos de trabajo de DevOps services. Se caracteriza por ser transparente para los desarrolladores y por preservar las capacidades para el trabajo en equipo, la agilidad y la velocidad de DevOps y de los entornos ágiles. Con lo cual, supone sumar a DevOps buenas prácticas de seguridad informática y de datos.

En un contexto en que las soluciones de software integran software de terceros o herramientas open source, y en el que por lo tanto los riesgos de que se introduzcan vulnerabilidades se incrementan de manera preocupante, es clave potenciar la seguridad y minimizar los riesgos. Pero claro, el desafío es lograrlo sin sumar obstáculos a la velocidad de lanzamiento de las soluciones de software. Y esto es precisamente lo que hace DevSecOps: agrega las mejores prácticas de seguridad –automatizables y escalables- en todas las etapas desarrollo de software.

Accionar temprano

Optar por DevSecOps implica integrar prácticas de seguridad lo más temprano posible en el ciclo de producción de software. Es decir que este método que integra en DevOps procesos consistentes de security supone integrar las estrategias y prácticas de seguridad informática desde el inicio al desarrollo de software, incluso desde la etapa de diseño, en lugar de sumarla como una capa posterior. Y entre otras cosas se centra en automatizar todos los controles vinculados con la seguridad.

DevSecOps permite que el desarrollo de aplicaciones sume seguridad sin perder velocidad, algo que en el pasado parecía imposible de conjugar. Cabe indicar que ya de por sí muchos desarrolladores tienen una experiencia limitada con prácticas de codificación seguras. Además, la mayoría están desencantados por sus experiencias utilizando herramientas de prueba que requieren mucho tiempo y que no pueden igualar el ritmo de las culturas DevOps services. En cambio, ahora, al integrar y automatizar las pruebas de seguridad de aplicaciones estáticas (SAST) como parte de sus iniciativas DevSecOps, los equipos pueden abordar con fluidez los desafíos comunes relacionados con el desarrollo de aplicaciones seguras en entornos ágiles.

Control desde el arranque

Ante una situación en que los modelos tradicionales de seguridad informática generaban cuellos de botella, DevSecOps aparece como la opción para que se puedan efectuar pruebas de seguridad de datos a través de iteraciones sin demorar los procesos de entrega. Hoy los equipos de desarrollo de software utilizan prácticas CI (integración continua) / CD (entrega continua) para acelerar el delivery de software. Al integrar y automatizar soluciones de seguridad al principio de la canalización de CI / CD, los equipos pueden escanear cada compilación en busca de debilidades y vulnerabilidades de seguridad sin afectar la velocidad. Y esta es precisamente una práctica típica de DevSecOps.

El hecho de avanzar hacia el modelo DevSecOps le permite a una compañía tener el control de la seguridad desde el origen de un producto hasta su puesta en producción, y puede ayudar a evitar algunos de los errores de terceros y de la cadena de suministro que han puesto en cuestión a la industria del software en los años recientes. Además, esta filosofía y este método ayudan a identificar tempranamente vulnerabilidades a nivel del código, aportan una velocidad y agilidad superiores al aplicar la seguridad informática y de datos, brindan la capacidad de responder rápidamente ante requisitos y cambios y permiten optimizar la comunicación y la colaboración.