DevSecOps: seguridad en el desarrollo de Software

El desarrollo de software se vuelve cada vez más democratizado, descentralizado y de código abierto, lo que facilita en gran medida las labores del desarrollador y la distribución de conocimiento en la comunidad de software. Pero pocos se han detenido a pensar que a medida que aumenta el número de paquetes y librerías de código abierto, también lo hacen las vulnerabilidades de seguridad.

Según reportes del 2019, las vulnerabilidades para npm crecieron un 47% mientras que para Maven Central fue de 27%, encontrándose el 78% de dichas vulnerabilidades en dependencias indirectas. En el último par de años, se encontraron 4 veces más vulnerabilidades en Debian y Ubuntu en comparación con 2017. Las diez imágenes de docker más populares contienen al menos 30 vulnerabilidades.

Hay muchas más razones, sin embargo, estas son más que suficientes para resaltar que necesitamos abordar las amenazas de seguridad que se expanden día a día. Los errores de seguridad tienen el potencial de introducir daños significativos y convertirse en sobrecostos para las organizaciones.

La seguridad y las prácticas DevOps

La velocidad es uno de los principios más importantes de DevOps, pero si se llevan a cabo prácticas de seguridad obsoletas, estas pueden deshacer las iniciativas más eficaces de DevOps. Esto crea fricción entre la iniciativa DevOps (entrega más rápida) y las pruebas de seguridad (entregas más confiables) que conducen a una entrega más lenta. Es por eso que algunos de los aspectos de seguridad generalmente se omiten en el enfoque DevOps.

Los métodos tradicionales del desarrollo relegan la seguridad a las fases finales del proyecto y generalmente es un equipo aislado y diferente quien se encarga de los análisis de seguridad. Esto puede desencadenar en reprocesos y demoras en la entrega del producto final.

¿Cómo puede ayudarnos DevSecOps?

En primer lugar, debemos entender que DevOps es más ágil porque todo el proceso está automatizado, pero las prácticas de seguridad no suelen ser parte de dicha automatización, lo que reduce la velocidad de entrega.

DevSecOps implica inyectar las prácticas de seguridad de una organización dentro de sus prácticas DevOps para que de esta manera, las diferentes comprobaciones de seguridad y análisis de vulnerabilidades, sean una etapa intrínseca a los pipelines y demás procesos de integración y despliegue continuo (CI/CD).

DevSecOps implica la planificación y ejecución de la "seguridad como código" por parte del equipo de desarrollo, operaciones y negocio. Estos a su vez deben adoptar la seguridad como parte fundamental de la cultura de la organización.

La intención es incorporar seguridad en todas las etapas del flujo de trabajo de desarrollo de software, aunque, en ocasiones, esto sea contradictorio con los modelos de desarrollo tradicionales. DevSecOps significa que no se debe dejar la seguridad para las etapas finales del ciclo de desarrollo. DevSecOps es una forma de abordar la seguridad de TI con la idea de que "todos somos responsables de la seguridad".

Beneficios de adoptar DevSecOps

1. Detección temprana de errores y vulnerabilidades.
2. Uso de librerías y paquetes de código abierto con mayor confianza.
3. Concientización sobre seguridad por parte de todo el equipo de trabajo.
4. Reduce riesgos y responsabilidades legales.
5. Requisitos de seguridad documentados e implementados.
6. La seguridad es lo primero que se considera antes de escribir una línea de código.
7. La seguridad es considerada en cada cambio que se introduce en el sistema.
   
   

DevSecOps brinda a las organizaciones la confianza de que sus aplicaciones son lo más seguras posible. Si bien ninguna aplicación es 100% segura, la implementación de DevSecOps garantiza que la seguridad sea el enfoque principal en todas las actividades de desarrollo, no una actividad complementaria que puede o no abordarse según los tiempos de desarrollo y plazos de entrega.