¿Qué es DevSecOps?

En el ámbito práctico, DevSecOps es una táctica que enlaza tres disciplinas diferentes: desarrollo, seguridad y operaciones. Su objetivo es integrar la seguridad en su proceso de integración y entrega continuas, tanto en entornos de preproducción (desarrollo) como de producción (operaciones). Para ello integra la seguridad de las aplicaciones y la infraestructura a la perfección en los procesos y herramientas Agile y DevOps.

 

En el Desarrollo los equipos crean y cambian sobre nuevas aplicaciones de software. Estas prácticas aplicadas al desarrollo se basan primeramente en enfoques ágiles que priorizan la mejora continua. En caso de que los desarrolladores trabajen de manera aislada sin tener en cuenta las operaciones o la seguridad, estas nuevas aplicaciones aplicaciones pueden presentar problemas operativos o vulnerabilidades de seguridad que pueden suponer más gasto y probablemente requerir mucho tiempo para solucionar.

En las Operaciones está más relacionado a los procesos de gestión aplicados a la funcionabilidad del software a lo largo de su ciclo de vida. La puesta en marchar de operaciones en paralelo con los procesos de desarrollo de software permite a las compañías reducir el tiempo de implementación y aumentar la eficiencia general.

Por último, le toca ahora a la Seguridad enfocada a todas la herramientas y técnicas necesarias para diseñar y crear un software lo más resistente posible a ataques. Si hacemos que la seguridad se las aplicaciones sea parte del proceso de DevSecOps desde el principio hasta el final de su ciclo, las empresas podrán alinear estos 3 componentes para la creación y entrega de cualquier software.

Los desafíos de DevSecOps

Los desafíos que implica DevSecOps, en primer lugar, afectan a las personas y a su cultura empresarial. Quizás resulte necesario volver a preparar a los equipos DevOps para que asuman  las mejores prácticas de seguridad y sepan cómo operar sobre nuevas herramientas de seguridad. En términos de cultura de empresa, los equipos deberían adoptar una mentalidad de que son responsables de la seguridad del software que crean e implementan, tanto de las características, funciones y la usabilidad.

Otro reto es encontrar las herramientas de seguridad adecuadas e integrarlas en el flujo de trabajo de DevOps. Sabemos que cuanto más automatizadas estén las herramientas de DevSecOps y más integradas estén, menos capacitación y cambios será necesario hacer.