DevSecOps —abreviatura de desarrollo, seguridad y operaciones, en inglés— automatiza la integración de la seguridad en todas las fases del ciclo de vida de desarrollo de software, desde el diseño inicial hasta la entrega de software, pasando por la integración, la prueba y el despliegue.

DevSecOps representa la evolución natural y necesaria de la forma en que las organizaciones de desarrollo abordan la seguridad. En el pasado, un equipo de seguridad independiente añadía la seguridad al software al final del ciclo de desarrollo (casi como añadidura), y otro equipo independiente de control de calidad (QA) la probaba.

Este proceso se podía gestionar cuando las actualizaciones de software se publicaban una o dos veces al año. Sin embargo, a medida que los desarrolladores de software adoptaron las prácticas Agile y DevOps, con el objetivo de reducir los ciclos de desarrollo de software a semanas o incluso días, el enfoque tradicional "añadido" de la seguridad creó un cuello de botella inaceptable.

DevSecOps integra la seguridad de la aplicación y la infraestructura sin problemas en los procesos y las herramientas de Agile y DevOps. Aborda los problemas de seguridad a medida que surgen, cuando son más fáciles, más rápidos y menos costosos de arreglar (y antes de que pasen a producción). Además, DevSecOps trata la seguridad de las aplicaciones y la infraestructura como una responsabilidad compartida entre los equipos de desarrollo, seguridad y operaciones de TI, en lugar de una responsabilidad exclusiva de un silo de seguridad. Facilita "software, más seguro, antes" —el lema de DevSecOps— automatizando la entrega de software seguro sin frenar el ciclo de desarrollo de software.

Las dos principales ventajas de DevSecOps son la velocidad y la seguridad. Los equipos de desarrollo ofrecen un código mejor y más seguro más rápido y, por lo tanto, más barato.

"La finalidad y la intención de DevSecOps consisten en crear la mentalidad de que todo el mundo es responsable de la seguridad, con el objetivo de distribuir rápidamente, con claridad y a escala las decisiones de seguridad a aquellos que mantienen el nivel más alto de contexto sin sacrificar la seguridad requerida", describe Shannon Lietz, coautora del manifiesto "DevSecOps Manifesto".

Entrega de software rápida y rentable
 

Cuando el software se desarrolla en un entorno que no es de DevSecOps, los problemas de seguridad pueden provocar grandes retrasos. Corregir el código y los problemas de seguridad puede ser lento y costoso. La entrega rápida y segura de DevSecOps ahorra tiempo y reduce los costes al minimizar la necesidad de repetir un proceso para resolver problemas de seguridad después del hecho.

El resultado es un proceso más eficiente y rentable, ya que la seguridad integrada reduce las revisiones redundantes y las recompilaciones innecesarias, y se obtiene así un código más seguro.

Seguridad proactiva y mejorada
 

DevSecOps introduce procesos de ciberseguridad desde el inicio del ciclo de desarrollo. A lo largo del ciclo de desarrollo, el código se revisa, se audita, se explora y se prueba en busca de problemas de seguridad. Estos problemas se abordan tan pronto como se identifican. Los problemas de seguridad se solucionan antes de introducir dependencias adicionales. Los problemas de seguridad son menos costosos de arreglar cuando se identifica y se implementa la tecnología de protección en las etapas iniciales del ciclo.

Además, la mejora de la colaboración entre equipos de desarrollo, seguridad y operaciones permite mejorar la respuesta de una organización a las incidencias y problemas cuando se producen. Las prácticas de DevSecOps reducen el tiempo necesario para aplicar parches a las vulnerabilidades y liberan a los equipos de seguridad para centrarse en tareas de mayor valor. Estas prácticas también garantizan y simplifican la conformidad, y evitan tener que actualizar los proyectos de desarrollo de aplicaciones para incluir la seguridad.

Aplicación acelerada de parches a vulnerabilidades de seguridad
 

Una de las principales ventajas de DevSecOps es la rapidez con la que gestiona las vulnerabilidades de seguridad recién identificadas. Puesto que DevSecOps integra la exploración de vulnerabilidades y la aplicación de parches en el ciclo de publicación, la capacidad de identificar y aplicar parches a las vulnerabilidades y exposiciones comunes (CVE) disminuye. De este modo, se limita el periodo de tiempo del que disponen los actores de amenazas para aprovechar las vulnerabilidades en los sistemas de producción de cara al público.

Automatización compatible con el desarrollo moderno
 

Las pruebas de ciberseguridad se pueden integrar en una suite de pruebas automatizadas para equipos de operaciones si una organización utiliza un conducto de integración continua/entrega continua para enviar el software.

La automatización de las comprobaciones de seguridad depende en gran medida del proyecto y de los objetivos organizativos. Las pruebas automatizadas pueden garantizar que los niveles de parche de las dependencias de software incorporadas sean adecuados y confirmar que el software pasa las pruebas de la unidad de seguridad. Además, pueden probar y proteger el código con análisis estático y dinámico antes de que la actualización final pase a producción.

Un proceso repetible y adaptativo
 

A medida que las organizaciones maduran, también madura su postura de seguridad. DevSecOps se presta a procesos repetibles y adaptativos. De este modo, se garantiza que la seguridad se aplica de forma coherente en todo el entorno, a medida que el entorno cambia y se adapta a los nuevos requisitos. Una implementación madura de DevSecOps tendrá una automatización sólida, gestión de configuración, orquestación, contenedores, infraestructura inmutable e incluso entornos de cálculo sin servidor.

DevSecOps debe ser la incorporación natural de los controles de seguridad a los procesos operativos, de desarrollo y de entrega.

Shift left
 

"Shift left", o desplazamiento a la izquierda, es un mantra de DevSecOps: alienta a los ingenieros de software a mover la seguridad de derecha (fin) a izquierda (comienzo) del proceso DevOps (entrega). En un entorno de DevSecOps, la seguridad es una parte integral del proceso de desarrollo desde el principio. Una organización que utiliza DevSecOps incorpora a sus arquitectos e ingenieros de ciberseguridad como parte del equipo de desarrollo. Su trabajo es asegurarse de que se hayan aplicado los parches en todos los componentes y elementos de configuración de la pila y que estos estén documentados y configurados de forma segura.

El desplazamiento a la izquierda permite al equipo de DevSecOps identificar los riesgos de seguridad y las exposiciones de forma temprana, y garantiza que estas amenazas de seguridad se aborden de inmediato. El equipo de desarrollo no solo piensa en crear el producto de manera eficiente, sino que también implementa la seguridad a medida que lo crea.

Formación en seguridad
 

La seguridad es una combinación de ingeniería y conformidad. Las organizaciones deben formar una alianza entre los ingenieros de desarrollo, los equipos de operaciones y los equipos de conformidad para garantizar que todos los miembros de la organización comprendan la postura de seguridad de la empresa y sigan los mismos estándares.

Todos los participantes en el proceso de entrega deben estar familiarizados con los principios básicos de seguridad de aplicaciones, los diez principales de Open Web Application Security Project (OWASP), las pruebas de seguridad de aplicaciones y otras prácticas de ingeniería de seguridad. Los desarrolladores deben conocer los modelos de subprocesos y las comprobaciones de conformidad, y saber cómo medir los riesgos y la exposición y cómo implementar los controles de seguridad en la práctica.

Cultura: comunicación, personas, procesos y tecnología
 

Un buen liderazgo fomenta una buena cultura que promueve el cambio dentro de la organización. Es importante y esencial en DevSecOps comunicar las responsabilidades de la seguridad de los procesos y la propiedad del producto. Solo de ese modo pueden los desarrolladores e ingenieros convertirse en propietarios de procesos y asumir la responsabilidad de su trabajo.

Los equipos de operaciones de DevSecOps deben crear un sistema que les funcione utilizando las tecnologías y protocolos que se ajusten a su equipo y al proyecto actual. Al permitir que el equipo cree el entorno de flujo de trabajo que se ajuste a sus necesidades, se convierten en partes interesadas implicadas en el resultado del proyecto.

Trazabilidad, auditabilidad y visibilidad
 

Implementar la rastreabilidad, la auditabilidad y la visibilidad en un proceso de DevSecOps aporta información útil más detallada y un entorno más seguro:

• La trazabilidad permite realizar un seguimiento de los elementos de configuración a lo largo del ciclo de desarrollo hasta el lugar donde se implementan los requisitos en el código. Esto puede tener una importancia crucial en la infraestructura de control de su organización, ya que ayuda a lograr la conformidad, reducir los errores, garantizar un código seguro en el desarrollo de las aplicaciones y facilitar el mantenimiento del código.
  
  
• La auditabilidad es importante para garantizar la conformidad con los controles de seguridad. Los controles de seguridad técnicos, administrativos y de procedimientos deben estar bien documentados y ser auditables y respetados por todos los miembros del equipo.
  
  
• La visibilidad es una buena práctica de gestión en general, pero es muy importante para un entorno de DevSecOps. Significa que la organización tiene un sistema de supervisión sólido establecido para medir la pulsación del funcionamiento, enviar alertas, aumentar el reconocimiento de los cambios y los ciberataques a medida que se producen y proporcionar responsabilidad durante todo el ciclo de vida del proyecto.