DevOps y la necesidad de seguridad en todo el ciclo de desarrollo del software
- Gestión de apps
"Shift left testing" es un enfoque cada vez más popular para probar aplicaciones y software, donde las pruebas generalmente se realizan antes en la línea de tiempo del proyecto de desarrollo (por lo tanto, se desplaza hacia la izquierda) y es un aspecto fundamental del enfoque DevOps.
El rápido surgimiento del movimiento DevOps en sí mismo ha sido impulsado por el crecimiento exponencial de la economía de aplicaciones, que ha ejercido una gran presión sobre los equipos de desarrollo para alcanzar plazos de entrega más cortos.
Sin embargo, el riesgo de avanzar demasiado rápido sin un proceso de seguridad adecuado deja a la organización abierta a aplicaciones con funcionalidad deficiente, fallos en el software o de seguridad que son factores clave que impactan fuertemente en la lealtad y retención del cliente.
Aquí es donde las pruebas de desplazamiento a la izquierda (Shift left testing) se vuelven críticas porque impone la responsabilidad de probar el software y garantizar la estabilidad de las aplicaciones para incluir a los desarrolladores en la etapa más temprana posible del proceso de desarrollo.
"Shift left" afecta todo el ciclo de vida del software
Este cambio en el enfoque del desarrollo y las pruebas de aplicaciones ha revolucionado por completo todo el ciclo de vida del software (SLC), que ha pasado de un enfoque silo -ed (en el que el desarrollo y las operaciones estaban muy separadas) a uno en el que estos silos son deliberadamente eliminados del proceso.
Un problema importante con el enfoque más tradicional de "cascada" para el desarrollo de software s el hecho de que en cada etapa de transferencia del proceso de SLC, desde la planificación, desarrollo, aseguramiento de la calidad (QA) y operaciones, había lagunas de conocimiento vitales que nunca se retroalimentaban a los desarrolladores de manera oportuna y eficiente.
El crecimiento y la popularidad del desarrollo ágil ayudaron a alinear la intención general del negocio y el conocimiento de la aplicación al reunir a los desarrolladores, los propietarios de los productos y el control de calidad en el mismo equipo.
Sin embargo, incluso entonces, todavía era el "trabajo" de otra persona operar y probar el software. De ahí el crecimiento más reciente de DevOps y, más específicamente, DevSecOps, que promueve y apoya un continuo real en todo el espectro, y transfiere la responsabilidad de lo que se escribe y se implementa a todo el equipo en todo el SLC.
Cuando los desarrolladores y las personas de operaciones sienten una gran responsabilidad por entregar código limpio y aplicaciones estables y seguras, el resultado general es un desperdicio mucho menor, muchos menos errores a través de la automatización y una mejor comprensión de las necesidades y demandas de todos los equipos de todo el mundo. SLC.
Consejos principales para que DevOps cambie la seguridad que queda
Desafortunadamente, la seguridad ha sido algo tardía para el partido del "cambio a la izquierda", aunque esta situación está cambiando a raíz del crecimiento en las filtraciones de datos y ataques cibernéticos relacionados con aplicaciones de alto perfil en los últimos años.
La buena noticia es que ahora la seguridad se ve como algo que forma parte integral del proceso de desarrollo y no simplemente un inconveniente cuello de botella que se atornilla casi al final del proceso.
Al cambiar las pruebas de seguridad, todos los miembros del equipo de DevOps se verán más incentivados a hacer todo lo que colectivamente puedan para que su software sea más seguro y más seguro.
Pero, ¿cómo los equipos de DevOps se aseguran de que la seguridad esté integrada en todo el SDLC desde el principio?
- Integre la seguridad de la aplicación en sus herramientas de desarrollo
- Integre evaluaciones de seguridad con sus herramientas de desarrollo actuales y use sistemas de ticketing que prueban el código automáticamente y coordinan la corrección.
- Nominar campeones de seguridad
- Nomine a ciertos desarrolladores interesados en la seguridad como campeones de seguridad para promover el mensaje de seguridad en un nivel de igual a igual.
- Extienda la seguridad de la aplicación a la producción
- Una solución de seguridad de aplicaciones bien diseñada debe permitir la retroalimentación de bucle cerrado de la producción. La seguridad no se detiene en la implementación.
- Proporcionar visibilidad operacional completa
- DevSecOps promueve la autonomía del equipo, brinda visibilidad completa a todos los equipos para medir y evaluar a los equipos en cuanto a cumplimiento y riesgo de seguridad.
Promover DevSecOps en toda la empresa
En general, para fomentar y promover una cultura DevSecOps eficiente y segura en toda su organización, debe asegurarse de que todos se sientan responsables de la seguridad digital.
Esto se logra al comunicar el objetivo de producir aplicaciones seguras para todos los equipos, desde la planificación hasta el desarrollo, control de calidad y operaciones.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.