Si DevOps te parece bueno, DevSecOps te parecerá mejor
El año pasado hubo un gran crecimiento en la adopción de #DevOps en Latinoamérica, pero aun estamos lejos de modelos como los de EEUU y Europa.
#DevSecOps viene a llenar el hueco que existe en los controles de Seguridad al momento de desarrollar un software. Y tal como DevOps, es una practica de ingeniería de software que tiene como objetivo unificar el desarrollo de software y la operación del software, Sec aparece entre medio de ellos para lograr que cada implementación salga con un nivel base de seguridad alto.
Como las siglas lo indican, se realiza el desarrollo (Dev), se ejecutan los controles de seguridad (Sec) y por último se realiza la implementación (Ops), todo de forma automatizada, claro está.
Es por eso que herramientas como a raxis, Sonarqube, Fortify, Kiuwan, Crucible son tan importantes para el proceso de revisión de código.
En las cadenas automatizadas CI/CD, lo que hacemos posterior a desarrollar es ejecutar controles en cualquier herramienta de Revisión y en caso de que dicho control no sea satisfactorio paramos el build (proceso de construcción), regresando a su fase anterior para la revisión y mitigación por parte de desarrollo.
Hacking Continuo?
La inmensa cantidad de desarrollos que se realizan de manera evolutiva en un codigo fuente hacen necesario tener una inmensa cantidad de test y controles. Es por ello que el proceso de control de seguridad, conocido como #PenTest debe efectuarse de forma continua, para evitar quedar expuesto a riesgos por el tiempo que pasa entre un proceso de pentesting y otro.
En DevSecOps la seguridad es responsabilidad de todos, y es por eso que nos parece tan importante.
[popup_anything id=”2076″] |