DevOps se trata fundamentalmente de colaboración y agilidad. Desafortunadamente, cuando agregamos seguridad y cumplimiento a la imagen, el mensaje se distorsiona.
El término “DevSecOps” se ha puesto de moda en los últimos años con la intención de integrar sin problemas la seguridad y el cumplimiento en el marco de DevOps. Sin embargo, la realidad está lejos de ser la ideal: las herramientas de seguridad se han incorporado al proceso DevOps existente junto con nuevas capas de automatización, y todo el mundo lo llama “DevSecOps”. Este es un enfoque equivocado que no acepta los principios de colaboración y agilidad.
La integración de la seguridad en DevOps para ofrecer DevSecOps exige un cambio de mentalidad, procesos y tecnologías. Los líderes en gestión de riesgos y seguridad deben adherirse a la naturaleza ágil y colaborativa de DevOps para que las pruebas de seguridad sean perfectas en el desarrollo, haciendo que la “Sec” en DevSecOps sea transparente. – Neil MacDonald, Gartner
En un mundo ideal, todos los desarrolladores estarían capacitados y experimentados en prácticas de codificación segura desde el principio hasta el final y estarían capacitados para prevenir todo, desde la inyección de SQL hasta las vulnerabilidades del marco de autorización. Los desarrolladores también tendrían toda la información que necesitan para tomar decisiones relacionadas con la seguridad al principio de la fase de diseño.
Si un desarrollador está trabajando en un tipo de control de seguridad en el que no ha trabajado antes, una organización debe brindar la capacitación adecuada antes de que surja un problema de seguridad.
Una vez más, la realidad no llega al ideal. Si bien la automatización de CI / CD les ha dado a los desarrolladores la propiedad sobre la implementación de su código, esos desarrolladores aún se ven obstaculizados por la falta de visibilidad de la información relevante que los ayudaría a tomar mejores decisiones incluso antes de sentarse a escribir código.
Todo el concepto de descubrir y remediar vulnerabilidades en las primeras etapas del proceso de desarrollo ya está, de alguna manera, desactualizado. Un mejor enfoque es proporcionar a los desarrolladores la información y la capacitación que necesitan para evitar que los riesgos potenciales se conviertan en vulnerabilidades en primer lugar.
Piense en un desarrollador asignado para agregar campos de PII a una API con conexión a Internet. Los controles de autorización en la puerta de enlace de la API en la nube son fundamentales para la seguridad de la nueva función. “Desplazarse a la izquierda y extender a la derecha” no significa que una herramienta de escaneo o un arquitecto de seguridad deba detectar un riesgo de seguridad en una etapa temprana del proceso; significa que un desarrollador debe tener todo el contexto para prevenir la vulnerabilidad incluso antes de que ocurra. La retroalimentación continua es clave para mejorar el conocimiento de seguridad de los desarrolladores en órdenes de magnitud.
Source link