La edad dorada de las mejores prácticas de software DevOps se ha asentado sobre nosotros como una acogedora manta de consistencia. Dentro de esta utopía de gestión de cambios perfecta y estándares industriales bien engrasados, ha surgido una progresión natural hacia una ciberseguridad hermética llamada DevSecOps.

Por supuesto, cuando digo "edad dorada" realmente quiero decir "Lejano Oeste". Y por "acogedora manta de consistencia" realmente quiero decir "fría hoja de papel de incertidumbre". En toda la industria tecnológica, la implementación de DevOps significa cosas diferentes para diferentes empresas, incluso dentro de algunas empresas, significa cosas diferentes para diferentes equipos.

Desenmarañando DevSecOps

Desde que se acuñó el término hace una década, el significado de DevOps ha permanecido nublado, y el panorama actual representa una mezcolanza de flujos de trabajo DevOps. Elementos básicos como las herramientas CI/CD han visto una adopción generalizada, mientras que productos como el software de gestión de flujo de valor están dispersos en unas pocas empresas selectas.

En el mundo tecnológico, eso significa que es el momento perfecto para causar una disrupción, y DevSecOps es justo lo que se necesita.

¿Qué es DevSecOps?

DevSecOps, que significa Operaciones de Seguridad de Desarrollo, presenta un llamado a la acción necesario empaquetado como una palabra de moda insoportable. El mensaje subyacente es urgente y conmovedor: la ciberseguridad, también, debe ser un estándar en el flujo de trabajo de DevOps (desarrollo y operaciones de TI). Dada la naturaleza de los entornos de software de entrega continua, se ha vuelto cada vez más difícil para los profesionales de ciberseguridad limpiar después de los desarrolladores. DevSecOps apunta a crear código altamente seguro por diseño, en lugar de después del hecho.

(En cuanto al término en sí, bueno... establece un precedente interesante para las convenciones de nomenclatura. Hay muchos principios beneficiosos que pueden—y deben—integrarse con procesos DevOps exitosos, pero no lo llamemos DevSecPrivMindfulnessAIOps).

Queda por ver si el término DevSecOps se mantiene, pero por ahora hace su trabajo, enviando escalofríos por la columna vertebral de la industria. Tal vez eso tenga más que ver con la nauseabunda terminología que con sus implicaciones, pero aún sirve como una llamada de atención para los equipos de desarrollo sobre la necesidad muy real de un código seguro. ¿Cómo responden las empresas y los equipos a esa llamada?

Herramientas DevSecOps

Los equipos de DevOps necesitan la pila de software adecuada para realizar completamente DevSecOps, o seguridad por diseño. Además, estas herramientas deben integrarse sin problemas con las canalizaciones preexistentes.

En un mundo ideal, el producto perfecto para el trabajo también automatizaría la mayor parte de la carga de trabajo. Los desarrolladores no van a seguir el ritmo de una ciberseguridad fuerte a menos que la solución sea libre de dolores de cabeza. Aparte de algunas sesiones de capacitación firmes y un suministro constante de ibuprofeno, ¿cuáles son las opciones?

Finalmente encontrando algo de estabilidad en el mercado después de algunos años de estancamiento, las herramientas de análisis de composición de software (SCA) presentan una solución automatizada y sin fisuras para que los desarrolladores gestionen los elementos de código abierto y de terceros de sus aplicaciones. El proceso de desarrollo de aplicaciones tiende a acumular rápidamente una impresionante pila de dependencias y componentes de terceros. Las herramientas SCA se integran con los flujos de trabajo DevOps preexistentes para escanear constantemente estos componentes en busca de vulnerabilidades y actualizaciones, asegurando una seguridad integral en medio del espagueti de llamadas API. Estos productos luego van un paso más allá e incluso sugieren remediaciones de vulnerabilidades al detectarlas, convirtiéndolos en una necesidad para cualquier espacio emergente de DevSecOps.
Otras herramientas heredadas que se pueden usar y combinar para crear un entorno DevSecOps hermético incluyen software de escaneo de vulnerabilidades, software de pruebas de seguridad de aplicaciones dinámicas (DAST), software de pruebas de seguridad de aplicaciones estáticas (SAST), o software de pruebas de penetración... mira, hay muchas soluciones para elegir. Todas contribuyen con un valor único a un flujo de trabajo DevSecOps.

La metodología DevSecOps está lejos de estar estandarizada

La abundancia de diferentes soluciones que abordan DevSecOps, si realmente lo llamamos así, parece genial. Sin embargo, la industria no ha acordado una mezcla estándar de herramientas para un entorno de trabajo DevSecOps de "mejores prácticas". Como resultado, terminamos con una filosofía de trabajo ambigua, en lugar de un conjunto específico de procedimientos para implementar realmente. ¿Te suena familiar?

Si las empresas quieren evitar repetir el circo de implementación que llamamos DevOps, están comenzando mal. Solo mira la distribución de uso en esta encuesta de 57 profesionales de ciberseguridad en diferentes industrias realizada por ZeroNorth.

Estos resultados no evocan exactamente frases como "estándar de la industria" o "todo está bien". De siete posibles herramientas de escaneo y prueba, solo una ve uso a nivel empresarial por más de una cuarta parte de los profesionales encuestados. Lo cual es particularmente problemático cuando te das cuenta de que eso ni siquiera es el conjunto de datos completo.

Este gráfico en particular tuvo que dividirse en dos páginas diferentes del informe de ZeroNorth. Y claro, tal vez podrían haber hecho la fuente un poco más pequeña. Pero eso sigue siendo un total de 12 tipos diferentes de herramientas de ciberseguridad viables, todas con una implementación extremadamente variada en la industria.

Ese mismo informe encontró que el 98% de los profesionales consideran la ciberseguridad en DevOps como "extremadamente importante" o "muy importante". En general, todos están de acuerdo en que los equipos de DevOps deben adoptar las mejores prácticas de ciberseguridad, pero todos tienen diferentes ideas de lo que eso significa. Este problema es inherente a filosofías vagas como "DevOps" y "DevSecOps": cada equipo va a interpretar estas filosofías en función de su propio flujo de trabajo y cultura internos.

El futuro de DevSecOps en iniciativas DevOps y CI/CD

Basado en el sentimiento generalizado de la industria por una mejor seguridad en la era de la transformación digital, parece probable que la filosofía DevSecOps haya llegado para quedarse. La pregunta es si esa filosofía conducirá a una aplicación estandarizada, y cuánto tiempo tomará. Si la última década de DevOps sirve de referencia, probablemente veremos un mosaico de implementación impulsado por palabras de moda y sueños.

Sin embargo, es posible que la experiencia generalizada de la industria con DevOps haya preparado el terreno para esfuerzos de transformación digital más efectivos en el futuro. Ahora que las empresas han encontrado su lugar con la nube, DevOps e iniciativas CI/CD, una nueva adición brillante al entorno de trabajo puede resultar menos etérea. Quizás la urgencia crucial por la seguridad motive un frente unificado.

Cualquiera que sea la forma que tome, podemos esperar ver cambios importantes hacia DevSecOps en todas las industrias en el futuro. Puede haber dolores de crecimiento en el camino, especialmente si los desarrolladores y socios comerciales ven las nuevas iniciativas de seguridad como obstáculos dentro de flujos de trabajo eficientes. Sin embargo, las empresas deben encontrar formas de hacer que DevOps seguro funcione si quieren evitar el riesgo de fiascos de seguridad costosos.