DevSecOps (abreviatura de desarrollo, seguridad, y operaciones, en inglés) automatiza la integración de la seguridad en todas las etapas del ciclo de vida de desarrollo de software, desde el diseño inicial hasta la entrega de software, pasando por la integración, la prueba y la implementación.

DevSecOps representa una evolución natural y necesaria en la forma en que las organizaciones de desarrollo se acercan a la seguridad. En el pasado, un equipo de seguridad independiente añadía la seguridad al software al final del ciclo de desarrollo (casi como una elección hecha a último momento), y otro equipo independiente de control de calidad (QA) la probaba.

Esto era manejable cuando las actualizaciones de software se publicaban una o dos veces al año. Pero a medida que los desarrolladores de software adoptaron las prácticas Agile y DevOps, con el objetivo de reducir los ciclos de desarrollo de software a semanas o incluso días, el enfoque tradicional de la seguridad creó un cuello de botella inaceptable.

DevSecOps integra la seguridad de la aplicación y la infraestructura sin problemas en los procesos y herramientas de Agile y DevOps. Aborda los problemas de seguridad a medida que surgen, cuando son más fáciles, más rápidos y menos costosos de arreglar (y antes de que se pongan en producción). Además, DevSecOps hace que la seguridad de las aplicaciones y la infraestructura sea una responsabilidad compartida de los equipos de desarrollo, seguridad y operaciones de TI, en lugar de ser la responsabilidad exclusiva de un silo de seguridad. Permite "software, más seguro, antes", el lema de DevSecOps, automatizando la entrega de software seguro sin frenar el ciclo de desarrollo de software.

Las dos principales ventajas de DevSecOps son la velocidad y la seguridad. Los equipos de desarrollo ofrecen un código mejor y más seguro más rápido y, por lo tanto, más barato.

"El propósito y la intención de DevSecOps es crear sobre la mentalidad de que todo el mundo es responsable por la seguridad, con el objetivo de distribuir de manera segura las decisiones de seguridad rápidamente y escalar para aquellos que mantienen el nivel más alto de contexto, sin sacrificar la seguridad necesaria", describe Shannon Lietz, coautora del manifiesto "DevSecOps Manifiest".

Entrega de software rápida y rentable
 

Cuando el software se desarrolla en un entorno que no es de DevSecOps, los problemas de seguridad pueden provocar grandes retrasos. Arreglar el código y solucionar los problemas de seguridad puede ser lento y costoso. La entrega rápida y segura de DevSecOps ahorra tiempo y reduce los costos, minimizando la necesidad de repetir un proceso para solucionar problemas de seguridad después del hecho.

El resultado es un proceso más eficiente y rentable, ya que la seguridad integrada reduce las revisiones redundantes y las recompilaciones innecesarias, y se obtiene así un código más seguro.

Seguridad proactiva y mejorada
 

DevSecOps introduce procesos de ciberseguridad desde el inicio del ciclo de desarrollo. A lo largo del ciclo de desarrollo, el código se revisa, se audita, se explora y se prueba para encontrar problemas de seguridad. Estos problemas se abordan tan pronto como se identifican. Los problemas de seguridad se solucionan antes de introducir dependencias adicionales. Los problemas de seguridad se vuelven menos costosos de arreglar cuando se identifica y se implementa la tecnología de protección al comienzo del ciclo.

Además, una mejor colaboración entre equipos de desarrollo, seguridad y operaciones mejora la respuesta de una organización a las incidencias y problemas cuando se producen. Las prácticas de DevSecOps reducen el tiempo necesario para aplicar parches a las vulnerabilidades y liberan a los equipos de seguridad para centrarse en tareas de mayor valor. Estas prácticas también garantizan y simplifican la conformidad, y evitan tener que actualizar los proyectos de desarrollo de aplicaciones para incluir la seguridad.

Aplicación acelerada de parches a vulnerabilidades de seguridad
 

Un beneficio clave de DevSecOps es la rapidez con la que gestiona las vulnerabilidades de seguridad recientemente identificadas. Como DevSecOps integra la exploración de vulnerabilidades y la aplicación de parches en el ciclo de lanzamiento, la capacidad de identificar y aplicar parches a las exposiciones y vulnerabilidades comunes (CVE) se disminuye. Esto limita el tiempo que la persona por detrás de las amenazas tiene para aprovechar las vulnerabilidades en los sistemas de producción de cara al público.

Automatización compatible con el desarrollo moderno
 

Las pruebas de ciberseguridad se pueden integrar en un conjunto de pruebas automatizado para equipos de operaciones si una organización utiliza una línea de trabajo de integración continua/entrega continua para enviar su software.

La automatización de las verificaciones de seguridad depende en gran medida del proyecto y de los objetivos organizativos. Las pruebas automatizadas pueden garantizar que los niveles de parche de las dependencias de software incorporadas sean adecuados y confirmar que el software pasa las pruebas de la unidad de seguridad. Además, puede probar y proteger el código con análisis estático y dinámico antes de que la actualización final se promueva a la producción.

Un proceso repetible y adaptable
 

A medida que las organizaciones maduran, también madura su postura de seguridad. DevSecOps se presta a procesos repetibles y adaptativos. De este modo, se garantiza que la seguridad se aplica de forma consistente en todo el entorno, a medida que el entorno cambia y se adapta a los nuevos requisitos. Una implementación madura de DevSecOps tendrá una sólida automatización, gestión de la configuración, orquestación, contenedores, infraestructura inmutable, e incluso entornos informáticos sin servidor.

DevSecOps debe ser la incorporación natural de los controles de seguridad en los procesos de desarrollo, entrega y operación.

Desplazamiento a la izquierda
 

"Shift left", o desplazamiento a la izquierda, es un mantra de DevSecOps: anima a los ingenieros de software a mover la seguridad de la derecha (final) a la izquierda (principio) del proceso de DevOps (entrega). En un entorno de DevSecOps, la seguridad es una parte integral del proceso de desarrollo desde el principio. Una organización que utiliza DevSecOps incorpora a sus arquitectos e ingenieros de ciberseguridad como parte del equipo de desarrollo. Su trabajo es asegurar que cada componente y cada elemento de configuración del recurso esté parcheado, configurado de forma segura y documentado.

"Shift left" permite al equipo de DevSecOps identificar los riesgos de seguridad y las exposiciones de forma temprana y asegura que estas amenazas de seguridad se aborden de inmediato. El equipo de desarrollo no solo piensa en crear el producto de manera eficiente, sino que también implementa la seguridad a medida que lo crea.

Capacitación en seguridad
 

La seguridad es una combinación de ingeniería y conformidad. Las organizaciones deben formar una alianza entre los ingenieros de desarrollo, los equipos de operaciones y los equipos de conformidad para garantizar que todos los miembros de la organización comprendan la postura de seguridad de la empresa y sigan los mismos estándares.

Todos los participantes en el proceso de entrega deben estar familiarizados con los principios básicos de seguridad de aplicaciones, los diez principales de Open Web Application Security Project (OWASP), las pruebas de seguridad de aplicaciones y otras prácticas de ingeniería de seguridad. Los desarrolladores necesitan comprender los modelos de subprocesos y las comprobaciones de conformidad, y tener un conocimiento práctico de cómo medir los riesgos, la exposición y la implementación de controles de seguridad

Cultura: comunicación, personas, procesos y tecnología
 

El buen liderazgo fomenta una buena cultura, que promueve el cambio dentro de la organización. Es importante y esencial en DevSecOps comunicar las responsabilidades de la seguridad de los procesos y la propiedad del producto. Sólo entonces los desarrolladores e ingenieros pueden convertirse en propietarios de procesos y asumir la responsabilidad de su trabajo.

Los equipos de operaciones de DevSecOps deben crear un sistema que funcione para ellos, utilizando las tecnologías y protocolos que se ajusten a su equipo y al proyecto actual. Al permitir que el equipo cree el entorno de flujo de trabajo que se ajuste a sus necesidades, se convierten en stakeholders implicados en el resultado del proyecto.

Trazabilidad, auditabilidad y visibilidad
 

Implementar la trazabilidad, auditabilidad y visibilidad en un proceso DevSecOps conduce a insights más profundos y un entorno más seguro:

• La rastreabilidad permite realizar un seguimiento de los artículos de configuración a lo largo del ciclo de desarrollo hasta dónde se implementan los requisitos en el código. Esto puede jugar un papel crucial en el marco de control de su organización, ya que ayuda a lograr el cumplimiento, reducir errores, garantizar un código seguro en el desarrollo de aplicaciones y ayudar a mantener el código.
  
  
• La auditabilidad es importante para garantizar la conformidad de los controles de seguridad. Los controles de seguridad técnicos, de procedimiento y administrativos deben ser auditables, bien documentados y respetados por todos los miembros del equipo.
  
  
• La visibilidad es una buena práctica de gestión en general, pero muy importante para un entorno de DevSecOps. Significa que la organización tiene un sistema de supervisión sólido establecido para medir la pulsación del funcionamiento, enviar alertas, aumentar el reconocimiento de los cambios y los ciberataques a medida que se producen y proporcionar responsabilidad durante todo el ciclo de vida del proyecto.