Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía esencial: DevOps y la agilidad empresarial
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Las herramientas DevSecOps maduran, para el alivio de los desarrolladores de DevOps

Las herramientas de DevSecOps ayudan a identificar configuraciones potencialmente peligrosas para que la seguridad del sistema no sea comprometida por cambios involuntarios.

Garantizar que el software que una empresa implementa es seguro y asegurarse de que no hay vulnerabilidades de software en las aplicaciones que una organización produce siempre han sido una ciencia inexacta. Pero en esta era de DevOps, se está colocando más presión que nunca sobre los hombros del desarrollador de software típico, creando una necesidad por herramientas DevSecOps que reducirá la carga del desarrollador DevOps.

La seguridad programática de bajo nivel siempre ha sido responsabilidad de un desarrollador de software, pero las mejores prácticas siempre han exigido que las prácticas de seguridad declarativas deban ser preferidas, en todo momento, por sobre la colocación de construcciones relacionadas con la seguridad en el código escrito por un desarrollador de software. En otras palabras, los desarrolladores de software han estado históricamente aislados de las preocupaciones de seguridad de la empresa.

La necesidad de herramientas DevSecOps

Antes de que la nube pública se convirtiera en una opción viable, los desarrolladores se preocuparon por el código, las operaciones se preocuparon por el despliegue, los administradores se preocuparon por la seguridad de los servidores y los ingenieros de red mantuvieron un ojo en los hubs y switches para asegurarse de que no había engañosos procesos de negación de servicio. Pero en el mundo actual de DevOps, todos estos elementos están alojados en la nube, y la configuración se realiza a través de un script que ha sido escrito por un desarrollador. "El enfoque de silo estuvo bastante roto una vez que las compañías se movieron a la nube pública y comenzaron a adoptar prácticas de DevOps", dijo Roy Feintuch, CTO y cofundador de Dome9 Security. "El trabajo pesado se ha trasladado de las operaciones de TI a DevOps y a los desarrolladores que poseen los entornos definidos por el software".

Si bien la seguridad era una vez una responsabilidad compartida en todo el departamento de TI, la tendencia hacia la infraestructura como código significa que cada entorno basado en la nube es totalmente configurable a través de un script. El software es ahora el principal impulsor de la arquitectura empresarial, no el limitado presupuesto de la empresa para la compra de mainframes y el mantenimiento de centros de datos.

"Todo ahora está basado en plantillas y en software", dijo Feintuch. "En lugar de dispositivos de red físicos, ahora tiene llamadas de API que vienen del proveedor de la nube. El servicio de red está a una API de distancia".

Herramientas de DevSecOps y la integración de DevOps

Una infraestructura basada en API ofrece ciertamente beneficios en términos de simplicidad, manejabilidad y la capacidad de integrarse con herramientas de entrega continua, como Jenkins y Concourse CI. Pero el problema con un entorno configurado mediante programación es el hecho de que también puede estar mal configurado. Un servidor mal configurado en la nube pública puede terminar proporcionando un pase de acceso total a los no deseados y a los mal intencionados.

"La nube podría ser mucho más segura que un entorno tradicional", dijo Feintuch. "Pero la cosa es que, en la nube, una nube mal configurada puede ser peligrosa porque todo podría ser público. En la nube, cada error de configuración podría llevar a un sistema comprometido y a una fuga de información".

Afortunadamente, para los desarrolladores que están luchando para hacer frente a las cargas extras que DevOps pone sobre ellos, las herramientas de DevSecOps están aumentando el desafío y ayudando no sólo a identificar configuraciones potencialmente peligrosas basadas en la nube sino que también ayudan a bloquear entornos y configuraciones para que la seguridad del sistema no sea comprometida por cambios involuntarios.

Sobre el autor: Cameron McKenzie tiene 20 años de experiencia como ingeniero de software basado en Java EE. Se ha especializado en el desarrollo ágil, DevOps y tecnologías basadas en contenedores como Docker, Swarm y Kubernetes.

Investigue más sobre Desarrollo de aplicaciones

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close