Instalación de DevSecOps en canalizaciones CI / CD seguras
- Gestión de apps
El objetivo de las canalizaciones de CI / CD es la entrega rápida de los pasos de compilación y lanzamiento, generalmente a través de la automatización.
Un objetivo clave de DevSecOps es alertar a alguien sobre un nuevo problema lo antes posible en ese proceso automatizado. Necesita desarrollar soluciones que no abrumen las canalizaciones de CI / CD, pero que permitan flexibilidad para diferentes pilas de tecnología, herramientas de seguridad y entornos. Lo que debe preguntar es si los últimos cambios han causado problemas de seguridad nuevos e importantes que deben informarse antes de la publicación.
Intentar ejecutar manualmente las herramientas de seguridad en todo el código fuente de la aplicación todos los días puede llevar mucho tiempo y obstaculizar su capacidad para mantenerse al día con los cambios diarios. Para que las comprobaciones de seguridad sigan el ritmo de la entrega de código en un entorno de CI / CD, la automatización de la seguridad es imprescindible. Los productos de seguridad deben integrarse en el proceso de desarrollo y permitir que tanto el equipo de desarrollo como el de seguridad trabajen juntos en lugar de simplemente arrojarse cosas entre sí.
Toda la inteligencia artificial y el aprendizaje automático (AI / ML) del mundo no eliminará los problemas que no sean mejor que un triaje manual, por lo que aquí recomendamos que se resigne a quedarse atascado. Considere la primera ejecución de un conjunto de herramientas de seguridad como una prueba de seguridad normal. Espere cientos de problemas y esté preparado para revisarlos y marcar los falsos positivos, los duplicados y los problemas que simplemente no son importantes en este momento. Pero haga esto con la expectativa de que está creando una línea de base con la que se pueden medir los análisis futuros de su canalización, de modo que solo reciba alertas sobre nuevos problemas importantes. Al administrar y registrar automáticamente las listas de problemas reales que existen en cada ejecución de la canalización de DevSecOps, podemos concentrarnos en las diferencias. Estos nuevos problemas deben marcarse y luego hacerse fácilmente visibles y procesables para todos los equipos.
DevSecOps incluye la configuración de muchas herramientas de seguridad automatizadas para cubrir los muchos tipos de problemas de seguridad que deben verificarse. Muchas organizaciones ejecutan varias herramientas de seguridad. Sin embargo, a medida que aumenta la cantidad de herramientas de seguridad y los procesos de DevSecOps se vuelven más complejos, muchas empresas se dan cuenta de que el desafío más difícil es dar sentido a todos los resultados de las pruebas en un período corto de tiempo. Para algunas empresas, esta tarea de reunir los resultados de todas estas herramientas es un trabajo de tiempo completo y listo para la automatización.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.