¿Qué es DevSecOps?

Es la filosofía de integrar prácticas de seguridad dentro del proceso de DevOps. El movimiento DevSecOps, como el propio DevOps, se centra en la creación de nuevas soluciones para procesos de desarrollo de software complejos dentro de un marco ágil.

 

Clave del DevSecOps

DevSecOps

Beneficios de DevSecOps

Los dos principales beneficios de DevSecOps son la velocidad y la seguridad, sin embargo, vamos a detallarlos un poco más:

 

Su propósito

«El propósito y la intención de DevSecOps es construir una mentalidad donde todos son responsables de la seguridad con el objetivo de distribuir de manera segura las decisiones de seguridad a velocidad y escala a aquellos que tienen el nivel más alto de contexto sin sacrificar la seguridad requerida», describe Shannon Lietz, coautor del DevSecOps Manifesto.

DevSecOps

Seguridad proactiva mejorada

DevSecOps introduce procesos de ciberseguridad desde el comienzo del ciclo de desarrollo. A lo largo del ciclo de desarrollo, el código se revisa, audita, escanea y prueba para detectar problemas de seguridad.

¿Pero de qué me sirve identificar estos problemas?

 

Mejores prácticas para DevSecOps

DevSecOps debería ser la incorporación natural de controles de seguridad en su desarrollo, entrega y procesos operativos.

Todos los involucrados en el proceso de entrega deben estar familiarizados con:

 

Herramientas para automatización de DevSecOps

SolucionesFunción
AnsibleEsta herramienta de administración de servidor y configuración simplifica la automatización de TI, ya que finaliza tareas repetitivas y permite implementaciones de aplicaciones más rápidas, lo que permite a los equipos de DevSecOps realizar un trabajo más estratégico.
ChefEsta herramienta de gestión de la configuración ofrece una automatización rápida, escalable y flexible de TI a escala web.
DockerEsta plataforma de tecnología de contenedores de software les permite a los usuarios crear, implementar, ejecutar y administrar aplicaciones dentro de los contenedores.
PuppetEsta herramienta de administración de configuración DevOps flexible, multiplataforma, automatiza la entrega y operación del software durante todo su ciclo de vida.

Herramienta DevSecOps para evaluaciones de seguridad automatizadas

SolucionesFunción
OWASP ZAPEsta plataforma nos ayuda a monitorizar la seguridad de las aplicaciones web, siendo una de las aplicaciones del proyecto más activas en cuanto a auditorías de seguridad.
SonarqubeNos permite hacer un análisis de la calidad de código usando diversas herramientas de análisis estático de código fuente como Checkstyle, PMD o FindBugs para obtener métricas que pueden ayudar a mejorar la calidad del código de un programa.
RIPSEsta herramienta de análisis de código estático nos ayuda para la detección automatizada de vulnerabilidades de seguridad en aplicaciones PHP y Java.
LynisEsta herramienta de seguridad realiza un análisis exhaustivo del estado de sus sistemas para respaldar el fortalecimiento del sistema y las pruebas de cumplimiento.
AcunetixEs una herramienta automatizada para seguridad de aplicaciones web capaz de escanear cualquier sitio web y detectar vulnerabilidades como Inyección SQL, Cross Site Scripting y ataques XSS.

Resumen

Al igual que DevOps, DevSecOps busca lograr una mayor eficiencia y productividad a través de la colaboración en equipo, pero el enfoque de DevSecOps incorpora principios de seguridad.

¿TIENES ALGÚN CONSEJO ACERCA DE DEVSECOPS? SI ES ASÍ, NO DUDE EN HACÉRNOSLO SABER A CONTINUACIÓN EN LOS COMENTARIOS.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.