DevSecOps, Framework

DevSecOps, Framework

DevSecOps es un Framework de colaboración que amplía el impacto de DevOps al agregar prácticas de Seguridad al proceso de desarrollo y entrega de software. 

DevSecOps resuelve la tensión entre los equipos de DevOps que desean lanzar software rápidamente y los equipos de seguridad que priorizan la seguridad sobre todo lo demás.

Al integrar los principios y prácticas de seguridad de las aplicaciones en el desarrollo y las operaciones de software, los equipos pueden entregar software y servicios nuevos a una velocidad ágil sin comprometer la seguridad de las aplicaciones.

DevOps no solo concierne a los equipos de desarrollo y operaciones. Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de los enfoques de DevOps, la seguridad de la TI también debe desempeñar un papel integrado en el ciclo de vida completo de sus aplicaciones y desarrollo.

DevSecOps, un Framework

DevSecOps supone la inclusión en esta forma de trabajar como parte de la adopción de las Metodologías Ágiles, ahora se suma un nuevo integrante al equipo de Desarrolladores (Dev) y al equipo de Operaciones (Ops), Seguridad (Sec).

La Seguridad, en este modelo de trabajo mejorado (Framework), deja de ser una barrera, para formar parte del proceso, que implica el trabajo codo con codo del equipo de seguridad y con el resto de la organización.

DevSecOps entra al cambio en la filosofía de trabajo, de forma que la responsabilidad de las tareas de seguridad se extiende al resto del equipo Dev y Ops. La Seguridad pasa a ser una actividad que se ejecuta con responsabilidad compartida e inmersa a lo largo del proceso de desarrollo y despliegue, y no hasta al final cómo se aplicaba en un inicio.

DevSecOps, Objetivos…

El objetivo inicial de la filosofía de trabajo DevOps es exactamente el mismo, el cual no debe ser alterado por la incorporación de esta “nueva área”. DevOps se centra en garantizar la entrega rápida, y ahora también Segura, del código, mientras se atajan los problemas tradicionales entre el desarrollo y la seguridad. 

Una de las tareas principales de DevSecOps es descentralizar la seguridad, de forma que se convierta en un requisito mas en el flujo de diseño, desarrollo y entrega de la aplicación.

El objetivo del departamento es conseguir que todas las personas del equipo dispongan de las habilidades necesarias para trabajar con un alto nivel de competencia e independencia, en lo que a los criterios de seguridad se refiere, en un corto período de tiempo. De esta forma la seguridad pasa a ser responsabilidad de todas las áreas involucradas en el proyecto.

El Equipo de Seguridad se convierte en un actor más dentro del proceso de integración y entrega continua de Software y/o Aplicaciones, que debe identificar errores en los mismo y crear peticiones para solventarlos, que irán a la lista de trabajos pendientes del equipo de desarrollo u operaciones para resolverlos de cara al nuevo lanzamiento de la aplicación.

DevSecOPS y Gartner

Gartner la reconocida consultora e investigadora de las tecnologías de la información con sede en Stamford, ha dado recomendaciones para adoptar este Framework.

  • Se trata de adaptar herramientas y procesos a los desarrolladores, y no al revés.
  • No intenten eliminar todas las vulnerabilidades durante el ciclo de desarrollo.
  • Identifica y elimina primero las vulnerabilidades de código abierto conocidas.
  • Adapta los análisis de pruebas estáticos y dinámicos de código al nuevo contexto de trabajo.
  • Hay que capacitar a los desarrolladores, pero no esperen que se conviertan en expertos en seguridad.
  • Adopta un modelo de Security Champions (un grupo de especialistas de seguridad distribuidos por el resto de departamentos) e implementa una herramienta sencilla para tomar los requisitos de seguridad.
  • Aplica la misma filosofía de análisis de código para los despliegues automatizados, vía secuencias de comandos o de infraestructura como código.
  • Implementa un proceso de control de versiones del código y los componentes que lo forman.
  • Implementa un proceso de gestión de secretos y adécualo a una la herramienta adecuada.
  • Incorpora al proceso de diseño el concepto de infraestructura inmutable.
  • Revisa cómo se manejan los incidentes de prestación de servicios, incluyendo el proceso de la gestión de la seguridad.
  • Y, por último, incluye el aprovisionamiento de acceso dinámico para los desarrolladores.

DevSecOPS, historia.

El término DevOps empezó a moverse a raíz de la conferencia Agile de 2008, y los “DevOpsDays” que comenzaron en Bélgica, esto fue en el 2015 como el año en el que se empezó a hablar de la integración de la seguridad en los procesos DevOps, dando lugar al término DevSecOps (o también lo he encontrado como SecDevOps).

Con DevOps el objetivo era juntar el equipo de Ops (Operaciones) con el equipo de Dev (Desarrollo) para que no fuera sólo un acople final de los proyectos (y evitar todos los problemas que esto traía). 

Lo mismo ocurre con DevSecOps, que como ya se ha mencionado, garantizar y/o asegurar que la seguridad ya no sea una idea tardía, o que sea un departamento aislado de Seguridad, sino que esté integrada desde el minuto 0, desde que nace una App, un API, un Software, etc.

Conclusión

DevSecOps va más allá de la tecnología en la que se basa, tomando DevSecOps como un Framework listo para integrarse con las Metodologías, Estándares y Frameworks ya existentes, teniendo como objetivo intrínseco la ≪velocidad de entrega≫ y el nuevo objetivo que se suma en hacerlo ≪de forma segura≫ y sin alentar la entrega.

DevSecOps es la evolución natural de DevOps introduciendo la seguridad desde el inicio del proceso de desarrollo. Esta integración no solo requiere de nuevas herramientas, sino también un enfoque organizativo y de adopción de manera diferente. 

Fuentes de información para el presente Postsei.cmu.edu Red Hat, gartner.com

Síguenos en las Redes Sociales y ahora en todos los canales de Podcasts, para obtener actualizaciones periódicas y opiniones sobre lo que está sucediendo en el mundo de Project Manager, Agile, Big Data, Cloud, Scrum y mas…
Busca iPMOGuide en Facebook | Twitter | LinkedIn | Pinterest | Podcast

¿Tienes Telegram instalado?
Recibe este Post en nuestro canal, en tu móvil ó tablet.

Nos leemos pronto, ¡un abrazo!

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.