07 de Enero, 2022
DevOps
Antes de explicar lo que es DevSecOps, debemos conocer lo que es DevOps. El término DevOps, es una combinación de los términos ingleses Development (desarrollo) y Operations (operaciones). Es un conjunto de prácticas que agrupan el desarrollo de software y las operaciones de TI, su objetivo es hacer más rápido el ciclo de vida de las aplicaciones y proporcionar una entrega continua de alta calidad. Es una práctica complementaria al desarrollo ágil, tiene muchas ventajas ya que acelera la transición de una iniciativa de desarrollo a la implementación.
En esencia, DevOps se basa en la automatización de las tareas operativas de rutina y la estandarización de los entornos en todo el ciclo de vida de una aplicación, trayendo múltiples beneficios a la empresa como lanzamiento de aplicaciones o funcionalidades, más rápido, de calidad y con alta disponibilidad, mejor capacidad de atender las emergencias y todo esto se traduce a mayores ingresos, confianza de los clientes y más oportunidades para tu negocio.
¿En dónde entra la seguridad?
Como mencionamos anteriormente, DevOps no se trata solo de los equipos de desarrollo y operaciones. Para poder aprovechar al máximo el enfoque de DevOps, las empresas deben considerar la importancia de la seguridad en el ciclo de vida de las aplicaciones. Lo que lleva a DevSecOps. Esto significa pensar e integrar la seguridad en todas las etapas del desarrollo (planeación, programación, construcción, pruebas, lanzamiento despliegue, operación y monitoreo) también implica automatizar algunas funciones de seguridad para impedir que se ralentice el flujo de trabajo de DevOps. Seleccionar las herramientas adecuadas (Owasp ZAP, Sonarqube,OpenVAS, etc., por mencionar algunas) para la seguridad ya que son parte importante en el logro de sus objetivos.
Sin embargo, la seguridad efectiva de DevOps no solo requiere herramientas nuevas, sino que también la integración de un buen equipo de seguridad con el equipo de desarrollo y operaciones mejorando la comunicación entre ellos. DevOps agiliza los procesos y acorta la brecha entre el desarrollo y las operaciones, pero la agilidad obtenida puede verse perjudicada por una mala planificación de la seguridad.
Anteriormente la seguridad solía ser responsabilidad exclusiva de un equipo aislado y se incluía en la etapa final del desarrollo o incluso a veces ni si quiera era tomada en cuenta. En la actualidad, en un marco de trabajo colaborativo de DevOps, la seguridad es una responsabilidad compartida que se integra desde el principio.
¿Por qué implementar DevSecOps?
Si bien la metodología DevOps como se acaba de explicar conlleva a muchos beneficios para la empresa puede no ser suficiente para el correcto funcionamiento del proyecto, si la seguridad no se considera puede traducirse en altos costes tanto de tiempo como pérdidas económicas ya que si llegase a haber brechas de seguridad en el código o en la infraestructura, podría poner en peligro todo el proyecto y correr el riesgo de repetir el proceso de desarrollo, el código puede verse comprometido así como datos personales o información sensible de la empresa perdiendo también la confianza tanto de socios como de clientes.
Con la implementación DecSecOps a tu proyecto se está minimizando el riesgo de sufrir un ciberataque, ya que parte del proceso son las pruebas y búsqueda de fallos de seguridad, para detectar posibles vulnerabilidades desde el inicio, antes de que el software salga a producción, la automatización de dichas pruebas facilitara la capacidad de respuesta por parte de su equipo, mejoras continuas, resolución de problemas en menor tiempo, mayor escalabilidad y disponibilidad, entornos más estables, una mejor y más rápida entrega de los proyectos.
Conclusiones:
Este artículo fue una introducción a los aspectos básicos del DevSecOps y sus beneficios, en un siguiente articulo hablaremos de las herramientas que puedes utilizar en este proceso. Ya sea que estés pensando en desarrollar una aplicación, ya la estés desarrollando o incluso ya este desarrollada; la integración de seguridad en tu proyecto es algo sumamente importante que debes tomar en consideración y espero que este articulo te haya sido de utilidad para comprender esto.
Gracias y nos vemos en una siguiente publicación.
Escrito Por:
David Islas
Security Engineer
