DevSecOps se generalizará este año

  • DevOps

Digital Seguridad redes

DevSecOps se generalizará este año y habrá un aumento en el código oculto, el typosquatting y otros ataques maliciosos.

A los ciberdelincuentes les encantan las vulnerabilidades de Shadow Code porque piratear una biblioteca o servicio de uso común puede colocar el código malicioso en cientos o miles de sitios web.

DevSecOps es la filosofía de integrar las prácticas de seguridad dentro del proceso DevOps. DevSecOps implica la creación de una cultura de "seguridad como código" con una colaboración continua y flexible entre los ingenieros de versiones y los equipos de seguridad. El movimiento DevSecOps, como el propio DevOps, se centra en la creación de nuevas soluciones para procesos de desarrollo de software complejos dentro de un marco ágil.

DevSecOps es una respuesta natural y necesaria al efecto de cuello de botella de los modelos de seguridad más antiguos en la tubería de entrega continua moderna. El objetivo es cerrar las brechas tradicionales entre TI y seguridad al tiempo que garantiza una entrega rápida y segura de código. El pensamiento en silos se reemplaza por una mayor comunicación y responsabilidad compartida de las tareas de seguridad durante todas las fases del proceso de entrega.

Con un porcentaje creciente de código que se ejecuta en aplicaciones del lado del cliente que provienen de bibliotecas o servicios de JavaScript de terceros, vemos un aumento en el "Código de sombra". Al mirar el código JavaScript de front-end, Shadow Code es un código que se introduce en una aplicación sin un proceso de aprobación formal o validación de seguridad. El Shadow Code a menudo toma la forma de proveedores externos o bibliotecas de código abierto que brindan funcionalidades específicas en una aplicación. Shadow Code también puede incluir código de origen introducido por un desarrollador deshonesto o comprometido, o código no autorizado inyectado en la aplicación a través de una vulnerabilidad o brecha de seguridad. Debido a que no se revisó adecuadamente o podría haber sido comprometido o modificado desde la revisión del código (que es comúnmente el caso de los proveedores externos), Shadow Code puede albergar código malicioso del lado del cliente que altera el comportamiento de la aplicación para recopilar y exfiltrar PII ilegalmente de sitios web. El código malicioso puede escapar a un mayor escrutinio, ya que se ejecuta en el lado del cliente.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.