DevSecOps: Aprende cómo arrancar a toda velocidad

Comparte este artículo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
devsecops-como-empezar

¿Cómo arrancar a toda velocidad con DevSecOps?

DevOps es una filosofía en evolución, y ahora es el momento – justo cuando comienza a adoptarla en su organización–, de comenzar a incorporar la seguridad tanto en su comprensión del tema como en sus procesos.

La filosofía de DevOps comenzó con los principios básicos de los puntos de W. Edwards Deming sobre la gestión de la calidad, vinculando el desarrollo de los servicios y su entrega a las operaciones de TI.

A medida que aplicamos los principios de deming al desarrollo de software y las organizaciones de TI, estamos trabajando para mejorar la calidad general de los sistemas de software. Sigue leyendo para aprender cómo empezar a trabajar con DevSecOps.

<< Te recomendamos: Webinar: Los beneficios de DevSecOps >>

La automatización es esencial para DevSecOps

Pensamos que la automatización del proceso, particularmente el uso de herramientas de Integración Continua (CI) y Entrega Continua (CD), es esencial para la adopción exitosa de DevSecOps.

Integración continua (CI): Permite a los desarrolladores integrar cambios en la línea principal del código fuente a medida que terminan de escribir un fragmento de código.

Entrega continua (CD): Permite que los componentes del sistema se actualicen según sea necesario, en lugar de esperar a que la entrega sea hasta la próxima versión completa.

Despliegue continuo (CD): Permite que las aplicaciones sean implementadas de forma continua, a menudo solo para una parte de la base de usuarios al principio, y luego para toda la base de usuarios si la implementación es exitosa.

Como dijo Emmanuel Benzaquen, CEO de Checkmarx: “Por un lado, el proceso DevOps permite a las organizaciones desarrollar software con más eficiencia y velocidad, pero también expande drásticamente el riesgo a través de la exposición del software“.

DevSecOps: más allá de las siglas se encuentra un SDLC seguro

Para muchas organizaciones, DevOps, CI, CD (y CD de nuevo) equivalen a una gran cantidad de siglas y palabras que son difíciles de convertir en su objetivo final: un ciclo de vida de desarrollo de software seguro (también conocido como SSDLC).

Como suele ser el caso, el Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) proporciona un modelo para integrar la seguridad en cualquier SDLC existente, al que denominan Modelo de Madurez de Garantía de Software (Software Assurance Maturity Model).

La aplicación de este modelo en una organización consta de seis pasos básicos, como sigue:

  • Evaluar: Garantice un inicio adecuado del proyecto definiendo el alcance, identificando a las partes interesadas (stakeholders) y comunicando con el equipo para que las personas comprendan lo que está haciendo y por qué.
  • Evaluar: Identifique y comprenda la madurez de su alcance en cada una de las 12 prácticas de seguridad de software.
  • Establezca el objetivo: Desarrolle un puntaje objetivo para usarlo a modo de medición, para guiarlo a actuar en las actividades más importantes para su situación.
  • Defina el plan: determine un cronograma de cambios y desarrolle o actualice su plan de ruta. Es importante tener una estrategia de cambio realista en términos del número y duración de las fases. Identifique los triunfos rápidos que puede obtener desde el principio.
  • Implementar: Trabaje en el plan implementando todas las actividades en este período, considerando su impacto en los procesos, las personas, el conocimiento y las herramientas.
  • Roll Out (Despliegue): asegúrese de que las mejoras estén disponibles y sean visibles para todos los involucrados. Organice la capacitación y comunique las mejoras al equipo, luego mida la adopción y efectividad de las mejoras implementadas.

Implementación exitosa de un SSDLC

Es fácil decir que va a implementar un SDLC seguro mediante la automatización y la integración. Sin embargo, cada uno de los seis pasos anteriores requiere tiempo, energía, evangelización, capacitación y mucho más.

Los CIO y CISO buscan formas de acelerar la madurez de sus programas DevOps, pero necesitan ayuda para comenzar. Una forma de acelerar ese proceso es con servicios expertos para la implementación y automatización de la seguridad del software.

La implementación de la automatización en los procesos de DevSecOps es un desafío crítico para la mayoría de las organizaciones.

Un experto externo puede trabajar en estrecha colaboración con las organizaciones para ayudar a mejorar las capacidades de automatización en sus organizaciones y en todo su SDLC.

La automatización exitosa es solo una parte de la implementación de un SDLC seguro. Como lo describe OWASP en los pasos anteriores, es un proceso continuo.

Checkmarx brinda a los clientes servicios profesionales, que comparten la guía esencial para desarrollar e implementar programas de seguridad de software con automatización.

Hagamos que su organización comience a funcionar con DevSecOps.

Bio

Matthew Rose

Matt tiene más de 18 años de experiencia en desarrollo de software, gestión de ingeniería de ventas y consultoría. Durante este tiempo, Matt ha ayudado a algunas de las organizaciones más grandes del mundo en una variedad de industrias, regiones y entornos técnicos a implementar ciclos de vida de desarrollo de software seguro utilizando análisis estático. La amplia experiencia de Matt en el diseño e implementación de la arquitectura de múltiples niveles y el desarrollo de Internet e intranet han sido la clave para muchas invitaciones a conferencias para organizaciones como OWASP, ISSA e ISACA.

Ebook: 5 razones por las que la Seguridad del Software es más crítica que nunca