En muchas organizaciones, DevOps funcionaba por separado de la seguridad. Con la mayor velocidad de desarrollo e implementación, los controles de seguridad suelen quedar en un segundo plano. Sin embargo, el movimiento DevSecOps para incluir la seguridad más temprano que tarde está demostrando dar sus frutos.
DevOps es un conjunto de prácticas que emplean procesos de integración continua rompiendo los silos entre el desarrollo de software y las operaciones de TI.
Tradicionalmente, muchas organizaciones separaban equipos por función para desarrollar, implementar y gobernar aplicações dentro de una infraestructura. Sin embargo, la carrera por innovar y transformar digitalmente una empresa ha acelerado el ritmo para producir y lanzar nuevas funciones. La seguridad es a menudo una cuestión de último momento, lo que reduce la calidad y genera muchos clientes insatisfechos. Agregar un cambio en el código de la aplicação cerca del final del ciclo de desarrollo no solo es extremadamente costoso (debido a pruebas adicionales y recertificación), sino que refuerza la percepción común de que "la seguridad nos ralentiza".
A medida que los tiempos de ciclo se aceleran y los equipos de desarrollo adoptan metodologías más ágiles para lanzar software más rápido, la integración continua a través de DevOps apunta a ofrecer lanzamientos más frecuentes, con más capacidades nuevas para comercializar, más rápido. Todo es cuestión de velocidad.
El uso de las mejores prácticas de seguridad en las primeras etapas del ciclo de vida del desarrollo de software puede generar efectos positivos espectaculares en los costos y la eficiencia. Sin embargo, dentro de muchas organizaciones los equipos de seguridad siguen existiendo en silos, al igual que los equipos de desarrollo y operaciones operaban en silos antes del movimiento DevOps. Debido a esto, ha surgido un movimiento aún más nuevo que infunde seguridad en el proceso de integración/implementación continua: Operaciones de seguridad de desarrollo.
La creciente popularidad del movimiento DevSecOps se debe en gran parte a una metodología llamada "desplazamiento a la izquierda". Este enfoque implica que los equipos de desarrollo de software se centren en un código robusto desde el principio. Este método aleja la seguridad de su función reactiva de guardián y la acerca más a una función preventiva. Los equipos de seguridad brindan orientación y apoyo a los equipos de desarrollo e incorporan la automatización de la seguridad en el proceso de desarrollo de Integración Continua/Entrega Continua (CI/CD) lo antes posible.
En un entorno DevSecOps, la seguridad es una responsabilidad compartida que genera una colaboración y una retroalimentación mucho mayores, rompe las barreras entre el desarrollo, las operaciones y la seguridad, para llevar las funciones al mercado más rápidamente con un menor costo y una mayor eficiencia.
Incluso si la seguridad es una responsabilidad compartida, los equipos de seguridad no pueden esperar que los desarrolladores se conviertan instantáneamente en expertos en seguridad y tomen las decisiones correctas de control de seguridad en la primera oportunidad que tengan. Al igual que DevOps, DevSecOps es una filosofía que requiere un cambio cultural en la forma en que se desarrollan e implementan las aplicações . Sin embargo, si los equipos de seguridad se centran en las cinco áreas siguientes, pueden reducir los costes, aumentar la eficiencia y mejorar la capacidad de escalar:
MAYÚSCULAS A LA IZQUIERDA
e incorporar seguridad al proceso lo más temprano posible en el ciclo de vida del desarrollo.
HAZ DEL CAMINO SEGURO EL CAMINO FÁCIL
al centrarse en ofrecer controles de seguridad empaquetados y sin fricciones que están integrados en el flujo de trabajo del desarrollador (CI/CD).
ROMPER LOS SILOS
aumentar la colaboración y la retroalimentación entre los equipos de desarrollo, operaciones y seguridad (App Devs, DevOps y SecOps).
FOMENTAR CAMPEONES DE LA SEGURIDAD
dentro de sus equipos de desarrollo para mantener la seguridad como una prioridad.
CREAR UNA LINEA DE CONSTRUCCIÓN
construir controles de seguridad y pruebas en la misma herramienta que utiliza el desarrollador. De esta manera, los controles se aplican de forma automática y consistente, y los equipos de desarrollo no tienen que depender de los equipos de seguridad para cada nueva versión.