DevSecOps es una metodología en la que se mezclan desarrollo de software (Dev), la seguridad (Sec) y las operaciones (Ops). Su objetivo es garantizar que la seguridad sea una consideración prioritaria y constante, no solo en cada uno de los momentos del proceso de desarrollo, sino para cada miembro del equipo de trabajo.
Este enfoque le permite a las empresas abordar vulnerabilidades de manera proactiva y temprana, agilizar procesos (sobretodo cuando se emplean pruebas automatizadas o controles de seguridad en la nube) y crear un ambiente de colaboración en el que todos los miembros del equipo se comunican y trabajan conjuntamente para garantizar la seguridad del proyecto.
Sin importar la industria de la que estemos hablando, trabajar con metodología DevSecOps se ha vuelto imprescindible y por eso se han creado herramientas para que podamos comprender dónde estamos en términos de seguridad y qué acciones concretas podemos realizar para mejorar nuestras prácticas. El DevSecOps Maturity Model (DSOMM) es un ejemplo de esto.
A continuación hablaremos en detalle de las dimensiones que utiliza DSOMM para valorar el nivel de madurez de tu proyecto. Si te gusta programar y te interesa fortalecer tus habilidades, puedes consultar los recursos que tenemos disponibles para acompañar tu proceso de aprendizaje sobre DevSecOps.
¿Qué es el DevSecOps Maturity Model (DSOMM) y cómo mide la seguridad de mi proyecto?
Esta herramienta nos brinda oportunidades para fortalecer las estrategias de DevOps y muestra cómo se pueden priorizar. Además nos permite conocer si debemos implementar algún control de seguridad que nos haga falta, como realizar un escaneo de dependencias o de contenedores.
DSOMM nos ayuda a medir el nivel de implementación de DevSecOps teniendo en cuenta las siguientes dimensiones:
Construcción y despliegue
Como su nombre lo indica, en ella se tienen en cuenta definiciones del proceso de construcción y despliegue, la política de parches y la automatización de PRs para los mismos
Cultura y organización
En el nivel más básico de esta dimensión entra en consideración si se llevan a cabo procesos como el modelado de amenazas en la fase de diseño o como parte de alguna evaluación de seguridad.
También se evalúa si existe entrenamiento en seguridad para el equipo ( y si este es idóneo), así como la posibilidad de hacer consultorías para fortalecer la seguridad o si hay definiciones para la recuperación de desastres.
Implementación
Mide el fortalecimiento de la aplicación a través de la eliminación de vulnerabilidades y el incremento de capas de seguridad. Esto también aplica para elementos de la infraestructura como servidores, bases de datos y soluciones para gestionar la identidad y el acceso. En esta dimensión también aparecen elementos relacionados con el control de versiones.
Recolección de información
Esta dimensión tiene en cuenta la capacidad de recolectar métricas que permitan monitorear el sistema. Un ejemplo de esto puede estar en el proceso de inicio de sesión, donde se puede recolectar datos sobre los ingresos exitosos o fallidos, entre otros datos que pueden ayudar a fortalecer la seguridad o detectar errores.
Verificación y testeo
Aquí se mide qué tan exhaustivo es el análisis del código estático y de la infraestructura. También entran la frecuencia con la que se programan análisis de seguridad, los flujos de trabajo para manejar hallazgos y la integridad del proceso.
Para conocer más sobre cada una de estas dimensiones recomendamos consultar la matriz de evaluación de DSOMM en la que se explica en detalle cada uno de sus componentes.
¿Para qué sirve conocer el nivel de madurez en DevSecOps?
Según sus resultados, el DSOMM puede poner a nuestro proyecto en 5 niveles distintos. En el más alto, las prácticas de seguridad están totalmente integradas y optimizadas en todo el ciclo de vida del desarrollo.
Adicionalmente, los proyectos que se encuentran a este nivel han establecido una cultura de seguridad y los procesos de seguridad automatizados, como el escaneado de seguridad, el análisis de código y la gestión de vulnerabilidades, se integran a la perfección en el proceso CI/CD.
Utilizar esta herramienta no solo nos permite tener un Roadmap con acciones concretas que podemos llevar a cabo para mejorar la seguridad de un proyecto. También es una excelente herramienta para detectar qué habilidades puedes adquirir o fortalecer para garantizar que tú y tu equipo están creando código seguro.
Si quieres trabajar en Pragma o te interesa conocer más sobre nuestra cultura, te recomendamos entrar a nuestro sitio de carrera, allí encontrarás información sobre nuestras ofertas de trabajo y la cultura empresarial que nos hace únicos. También puedes usar nuestros recursos para seguir aprendiendo.
Comparte
