La hoja de ruta de DevSecOps en materia de seguridad [paper]
Las constantes demandas sobre los departamentos de programación son las que han propiciado la creación de nuevos modelos de desarrollo de software. El modelo tradicional de cascada (Waterfall), que ha predominado durante décadas, se enfrentaba al desarrollo de modo secuencial, ordenado, y se podría decir que es la forma clásica de solucionar un problema de ingeniería: toma de datos, planteamiento de la solución, desarrollo de la solución.
Sin embargo, las necesidades no solo no suelen estar totalmente definidas al principio, sino que evolucionan con el tiempo, lo que lleva a que un desarrollo de meses o años acabe por ser un sumidero de recursos que cada vez consume más para acabar dando un resultado que se parece menos a lo que se necesita cuando está terminado.
Esto llevó a toda clase de metodologías, prácticas y enfoques del desarrollo (RAD, Dynamic Systems Development Method, eXtreme Programming o Feature-driven Programming, entre otros), que acabaron cristalizando en el Manifiesto para el desarrollo ágil de software, lo que se conoce como el conjunto de valores y principios Agile. La popularización de estas prácticas hizo que los departamentos de desarrollo pudieran ser mucho más rápidos y cercanos a lo que demandaban sus organizaciones, pero la velocidad que requerían los equipos de desarrollo chocaba con la predictibilidad, plazos y controles que requerían los equipos de Operaciones, para los que cualquier cambio en los sistemas representaba un posible problema que había que estudiar detenidamente.
DevOps es la respuesta surgida en los propios departamentos técnicos de las organizaciones para dar respuesta a este reto. Pero DevOps es más que un conjunto de buenas prácticas, es todo un cambio cultural que ha conseguido que dos áreas que anteriormente no trabajaban juntas, como son Desarrollo y Operaciones, ahora tengan en cuenta siempre cómo influye lo que hacen y necesitan en la otra parte. Cada parte no se limita a hacer "lo suyo" e ignorar las necesidades de la otra sino que, desde un principio, Desarrollo tiene en cuenta cómo impactará lo que hace en Operaciones y viceversa, en muchas ocasiones incluso integrando a personas de un equipo en el otro.
Gracias al conjunto de buenas prácticas, herramientas y experiencia colectiva de DevOps las organizaciones pueden actualizar y poner en producción sus aplicaciones tantas veces como sea necesario sin que este incremento de ritmo suponga un problema para sus equipos. El desafío que era antes la puesta en producción de una nueva "release" de software que generaba enormes dosis de estrés a todos los implicados se ha convertido así, gracias a un alto grado de automatización, en una operación que, sin ser rutinaria, casi lo es. Un ciclo que por defecto nunca termina.
Y llegamos al siguiente capítulo de esta evolución tecnológica. Los departamentos de Seguridad, que han cobrado una importancia creciente durante todo este tiempo, seguían estando al margen. Algo parecido a lo que pasaba con el de Operaciones anteriormente, al que solo se contactaba para avisarle de una nueva "release" de software cuando era inminente su puesta en producción. La seguridad tiene que estar presente en todos los niveles de las organizaciones modernas y, si no está integrada especialmente con Desarrollo y Operaciones, acaba siendo un “stopper” que frena su labor con más y más requisitos previos para aceptar un nuevo entregable.
La evolución lógica de DevOps ha sido Secure DevOps o DevSecOps, que se puede definir como la filosofía de integrar prácticas de seguridad en el proceso DevOps. El enfoque Secure DevOps integra a los departamentos de Desarrollo, Seguridad y Operaciones para coordinarse desde el mismo momento en el que empieza un proyecto y así poder tener los tres visibilidad plena sobre lo que necesita y aporta cada una de las otras partes.
En el eBook "La hoja de ruta de DevOps en materia de seguridad" de Fastly encontrarás las claves fundamentales para apostar por el enfoque Secure DevOps y verás todas las ventajas que puede proporcionarle a tu organización, además de plantearte una hoja de ruta para ver el mejor modo de implantarlo y cómo solventar los obstáculos que puedan presentarse.
Tal y como se comenta en el eBook, "los primeros en adoptar DevOps lo definieron en muchos casos como un movimiento cultural al que siguieron unas necesidades operativas y tecnológicas". La cultura es la base de DevOps y lo mismo está sucediendo ahora con respecto a Secure DevOps.
Fuente: Muy Seguridad
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!