¿Cómo implementar DevSecOps de manera exitosa?
“Brindar a los desarrolladores herramientas rápidas y precisas, así como oportunidades de aprendizaje para permitirles integrar la seguridad en su trabajo” es el objetivo final, explica Veracode.
Detrás de toda estrategia DevSecOps en el desarrollo de operaciones se encuentra el objetivo de equilibrar la rapidez y la seguridad a la hora de crear software. Y, para ello, es necesario contar con las tecnologías adecuadas. Veracode explica en cinco pasos cómo implementar DevSecOps de manera exitosa:
- “Automatizar la seguridad” para detectar fallos al inicio del ciclo de vida del código. Esto se puede conseguir con secuencias de comandos, análisis estáticos y dinámicos, análisis de librerías de código abierto (SCA) e integración de pruebas dentro de las herramientas y procesos existentes.
- “Detectar vulnerabilidades de forma temprana” resulta clave. Es mejor que los fallos se produzcan en el ordenador del desarrollador cuando todavía le está dando forma al software que después, en el dispositivo de sus clientes. Aquí se antojan de utilidad complementos para el entorno de desarrollo integrado (IDE).
- “No aceptar altas tasas de falsos positivos”, eliminando la “fatiga de alerta” y mejorando la eficiencia y los tiempos de respuesta frente a incidentes. Para lograrlo se necesitará tecnología que favorezca la visibilidad operativa y que proporcione resultados válidos mediante informes y dashboards.
- “Emplear software de análisis de composición” para crear un inventario con los componentes a los que se recurre, facilitando su localización y actualización si es necesario. Gracias a las herramientas de SCA es posible escanear aplicaciones completas y componentes de código abierto para evitar usos involuntarios de código con fallos conocidos.
- “Enfatizar en las necesidades de los desarrolladores”. Y permitir a los desarrolladores realizar feedback de seguridad en el IDE, dar recomendaciones para solucionar fallos cuando los encuentran, hacer revisiones de código con expertos en codificación segura o crear programas de campeones de seguridad.
“Lograr el DevSecOps supone muchas oportunidades para los desarrolladores y equipos de IT, pero también implica ciertos retos. Utilizar plataformas de AppSec exahustivas es fundamental para alcanzar con éxito esta estrategia, y para ello hay que tener siempre presente el fin en sí mismo: brindar a los desarrolladores herramientas rápidas y precisas, así como oportunidades de aprendizaje para permitirles integrar la seguridad en su trabajo”, concluye Alejandro Novo, director de Veracode en España, Portugal e Italia.
“Junto a esto, DevSecOps también requiere de procesos robustos vinculados a métricas y a indicadores clave del rendimiento para permitir que la gestión y la organización de seguridad comprendan el valor de AppSec”, termina Novo.