Idan Plotnik es el CEO y fundador de Apiiro, una plataforma de riesgo de código.
DevOps se trata fundamentalmente de colaboración y agilidad. Desafortunadamente, cuando agregamos seguridad y cumplimiento a la imagen, el mensaje se distorsiona.
El término “DevSecOps” se ha puesto de moda en los últimos años con la intención de integrar sin problemas la seguridad y el cumplimiento en el marco de DevOps. Sin embargo, la realidad está lejos de ser ideal: las herramientas de seguridad se han incorporado al proceso DevOps existente junto con nuevas capas de automatización, y todo el mundo lo llama “DevSecOps”. Este es un enfoque equivocado que no acepta los principios de colaboración y agilidad.
La integración de la seguridad en DevOps para ofrecer DevSecOps exige cambios de mentalidad, procesos y tecnologías. Los líderes en seguridad y gestión de riesgos deben adherirse a la naturaleza ágil y colaborativa de DevOps para que las pruebas de seguridad sean perfectas en el desarrollo, lo que hace que la “Sec” en DevSecOps sea transparente. – Neil MacDonald, Gartner
En un mundo ideal, todos los desarrolladores estarían capacitados y experimentados en prácticas de codificación segura desde el principio hasta el final y estarían capacitados para prevenir todo, desde la inyección de SQL hasta las vulnerabilidades del marco de autorización. Los desarrolladores también tendrían toda la información que necesitan para tomar decisiones relacionadas con la seguridad al principio de la fase de diseño.
Si un desarrollador está trabajando en un tipo de control de seguridad en el que no ha trabajado antes, una organización debe brindar la capacitación adecuada antes de que surja un problema de seguridad.
Una vez más, la realidad se queda corta con el ideal. Si bien la automatización de CI / CD les ha dado a los desarrolladores la propiedad sobre la implementación de su código, esos desarrolladores todavía se ven obstaculizados por la falta de visibilidad de la información relevante que los ayudaría a tomar mejores decisiones incluso antes de sentarse a escribir código.
Todo el concepto de descubrir y remediar vulnerabilidades al principio del proceso de desarrollo ya está, en cierto modo, desactualizado. Un mejor enfoque es proporcionar a los desarrolladores la información y la capacitación que necesitan para evitar que los riesgos potenciales se conviertan en vulnerabilidades en primer lugar.
Piense en un desarrollador asignado para agregar campos de PII a una API con conexión a Internet. Los controles de autorización en la puerta de enlace de la API en la nube son fundamentales para la seguridad de la nueva función. “Desplazarse a la izquierda y extender a la derecha” no significa que una herramienta de escaneo o un arquitecto de seguridad deba detectar un riesgo de seguridad en una etapa temprana del proceso; significa que un desarrollador debe tener todo el contexto para prevenir la vulnerabilidad incluso antes de que suceda. La retroalimentación continua es clave para mejorar el conocimiento de seguridad de los desarrolladores en órdenes de magnitud.
Source link