Dos actividades marco de DevSecOps
- Gestión de apps
Las actividades de encuadre sustentan toda la estructura de DevOps, pero también hay que considerar lo que da forma a la estructura.
1. Ciclo de vida del desarrollo de software (SDLC)
El SDLC es vital. Sin él, ¿dónde sabe todo el personal (equipo, contratistas, consultores) cómo proceder para diseñar e implementar el producto? ¿Qué modelo se utiliza y quién es responsable de qué? Todo está en el SDLC. Por supuesto, cosas como las referencias para las especificidades de la arquitectura de la API y la documentación de la aplicación corolario harían que uno se sintiera como deambulando en la Biblioteca del Congreso (¡y que los desarrolladores quisieran quemarla como la antigua Biblioteca de Alejandría!).
Hablando de APIs: Debido al enorme aumento del uso de las API en todos los sectores, incluidos el sanitario y el minorista, cualquier uso de las API debe formar parte del SDLC.
No sólo las APIs están en auge para su uso e interacción pública, sino que el uso de microservicios dentro de una org ha aumentado drásticamente. Las APIs son necesarias interna y externamente para que las empresas alcancen, mantengan y aceleren la velocidad de la innovación, por lo que incluirlas como recursos críticos es crucial. El promedio de uso de APIs por empresa aumentó un 221%, por lo que atender ese ecosistema asegurando que se incluyan las actividades adecuadas, especialmente la seguridad, es necesario para los desarrolladores.
El SDLC está ahí para hacer que el flujo de trabajo y la producción sean consistentes (y concomitantemente más fáciles) codificando lo que hay que hacer tanto para la empresa como para el cliente, no para dificultar el trabajo presentando un tedio nauseabundo. Al igual que cualquier política corporativa, debe seguir siendo útil, pero sin diluirse.
He aquí algunos aspectos específicos que deben incluirse:
? Hay que incluir la modelización de amenazas de alguna forma. No tiene que ser un esfuerzo magnánimo, pero las realidades de las amenazas jugarán un papel importante en el desarrollo.
? Pruebas. Regresión, estrés, pentest, seguridad - estos y otros ayudarán a guiar qué tipo de entorno de pruebas uno necesitará y llevar a cualquier necesidad de aumentar elementos como la capacidad y la escalabilidad.
? Codificación segura. Si se está haciendo, tomar medidas para mejorar. Si no se está haciendo, empezar a hacerlo. Siempre es difícil volver atrás y arreglar el código inseguro, pero es una necesidad debido a los muchos riesgos y regulaciones que conlleva proporcionar software al público.
2. Formación
La formación es necesaria porque las empresas tienen que adaptarse a medida que los cambios tecnológicos crean nuevas oportunidades que conducen a un cambio continuo de las demandas de los clientes.
La formación está en todas partes. No hay un lugar ni un enfoque correctos: basta con formarse y cambiar según las necesidades (los detalles deben ser transmitidos por la dirección).
¿Con un presupuesto estricto y bajo? Una opción es la membresía de OWASP (que cuesta 50 dólares por persona al año) e incluye varios tipos de formación en AppSec y DevSecOps. Esa pequeña inversión puede ayudar a elevar el nivel de codificación limpia y segura, la conciencia de las amenazas y la seguridad y la reputación profesional.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de IT Híbrida incluyen diferentes vías de actuación: la gestión de aplicaciones, la gestión de las operaciones de IT (ITSM), la modernización de aplicaciones y la ciberseguridad inteligente. Puedes obtener más información sobre cómo abortar estos retos e innovar haciendo clic en cada una de las líneas de acción o visitando el sitio web de Micro Focus en este enlace.