Mejores prácticas para la transición a DevSecOps
- Gestión de apps
DevSecOps va ganando tracción entre las empresas, pero para adoptar DevSecOps en sus organizaciones, hay una serie de mejores prácticas que se pueden seguir para garantizar el éxito.
1. Establecer una cultura colaborativa
Lo más importante al comenzar con DevSecOps, es establecer una cultura que considere la seguridad como un habilitador del producto de calidad, una responsabilidad compartida y una prioridad máxima. Es una de las métricas clave de la aplicación, junto con el rendimiento de la aplicación y la experiencia del usuario.
2. Nombrar a los campeones de seguridad e invertir en entrenamiento de seguridad
Dado que la mayoría de los desarrolladores tienen una comprensión limitada de lo que deben vigilar, es genial nombrar a los campeones de seguridad dentro de los equipos. Estos campeones de seguridad pueden no tener el mismo conocimiento profundo que los piratas informáticos, pero tendrían suficiente participación y exposición en el lado de la seguridad para comprender los conceptos y saber dónde buscar las herramientas y los recursos adecuados.
Los campeones de seguridad también pueden actuar como una fuente de consulta para las dudas de seguridad que tendrán los miembros del equipo. Además de nombrar campeones de seguridad, equipa a los desarrolladores con las habilidades para entender e implementar la seguridad. Dicha capacitación debería reducir inmediatamente las tasas de defectos relacionados con la seguridad.
3. Transición a una arquitectura de microservicio
Los microservicios son una práctica bien conocida de DevOps que implica dividir una aplicación en servicios más pequeños, y cada servicio representa una función. Estos servicios individuales se comunican entre sí a través de una API, que permite a los desarrolladores escalar estos servicios individualmente sin afectar el resto de la aplicación.
Cuando el control de acceso (autorización) se implementa como un microservicio, según Gebel, surgen varios beneficios. Por un lado, los microservicios de la aplicación pueden centrarse en la entrega de la lógica empresarial, mientras que la funcionalidad de autorización está "encapsulada" en un servicio de infraestructura.
4. Utilizar herramientas de automatización
Implementar herramientas de automatización que puedan gestionar tareas de seguridad para permitir que los equipos de seguridad pequeños se centren más en las prioridades clave, como definir marcos y centrarse más en el proceso de desarrollo; las herramientas que generan y ejecutan automáticamente las pruebas de seguridad dentro del proceso de CI / CD ayudarán a facilitar esto.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.