DevSecOps se generalizará este año

  • Gestión de apps

DevSecOps se generalizará este año y habrá un aumento en el código oculto, el typosquatting y otros ataques maliciosos.

A los ciberdelincuentes les encantan las vulnerabilidades de Shadow Code porque piratear una biblioteca o servicio de uso común puede colocar el código malicioso en cientos o miles de sitios web.

DevSecOps es la filosofía de integrar las prácticas de seguridad dentro del proceso DevOps. DevSecOps implica la creación de una cultura de "seguridad como código" con una colaboración continua y flexible entre los ingenieros de versiones y los equipos de seguridad. El movimiento DevSecOps, como el propio DevOps, se centra en la creación de nuevas soluciones para procesos de desarrollo de software complejos dentro de un marco ágil.

DevSecOps es una respuesta natural y necesaria al efecto de cuello de botella de los modelos de seguridad más antiguos en la tubería de entrega continua moderna. El objetivo es cerrar las brechas tradicionales entre TI y seguridad al tiempo que garantiza una entrega rápida y segura de código. El pensamiento en silos se reemplaza por una mayor comunicación y responsabilidad compartida de las tareas de seguridad durante todas las fases del proceso de entrega.

Con un porcentaje creciente de código que se ejecuta en aplicaciones del lado del cliente que provienen de bibliotecas o servicios de JavaScript de terceros, vemos un aumento en el "Código de sombra". Al mirar el código JavaScript de front-end, Shadow Code es un código que se introduce en una aplicación sin un proceso de aprobación formal o validación de seguridad. El Shadow Code a menudo toma la forma de proveedores externos o bibliotecas de código abierto que brindan funcionalidades específicas en una aplicación. Shadow Code también puede incluir código de origen introducido por un desarrollador deshonesto o comprometido, o código no autorizado inyectado en la aplicación a través de una vulnerabilidad o brecha de seguridad. Debido a que no se revisó adecuadamente o podría haber sido comprometido o modificado desde la revisión del código (que es comúnmente el caso de los proveedores externos), Shadow Code puede albergar código malicioso del lado del cliente que altera el comportamiento de la aplicación para recopilar y exfiltrar PII ilegalmente de sitios web. El código malicioso puede escapar a un mayor escrutinio, ya que se ejecuta en el lado del cliente.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.

TAGS Seguridad, Desarrollo, DevSecOps

CONTENIDO RECOMENDADO

Opentext Summit Madrid Ramses Gallego OpenText™ muestra su apuesta por la IA empresarial en OpenText Summit Madrid 2024
tecnologia sostenibilidad Acciones sencillas a realizar para reducir la huella de carbono de TI de su empresa
desarrollador software El 75% de los ingenieros de software empresarial utilizarán asistentes de código de IA para 2028
Micro Focus prueba aplicaciones Forrester nombra a OpenText™ líder en plataformas de automatización de pruebas
OpenText loadrunner Optimice la ingeniería de rendimiento con las versiones CE 24.1 de OpenText™ LoadRunner™
Opentext madrid summit experience Aprenda a mejorar la experiencia de los clientes en OpenText™ Summit Madrid
Opentext ValueEdge Functional Test Pick n Pay planea transformar los casos de prueba de software con OpenText™ DevOps Aviator™
Opentext procesamiento documentos OpenText™ es nombrado Top Player en el archivado de información
OpenText IA Aviator Aumenta el interés de las empresas por la IA generativa