DevSecOps: una nueva cultura de trabajo en el desarrollo de software

DevSecOps: una nueva cultura de trabajo en el desarrollo de software

En este artículo resolveremos las dudas sobre esta filosofía y hablaremos de las ventajas de su aplicación en aspectos clave como son el desarrollo de nuevos productos ligados a las necesidades operacionales de las empresas sin olvidar el factor de seguridad aplicado a todo el proceso. 

DevSecOps significa integrar la seguridad al desarrollo de las aplicaciones durante todo el proceso estando completamente alineados con los procesos productivos y operacionales de las compañías. 

En Qualoom Expertise Technology colaboramos con empresas y equipos como LaLiga, Tiendanimal o Interflora desde hace más de 10 años, y uno de los pilares en los que siempre nos hemos basado es esta filosofía.

¿Cómo hemos llegado al DevSecOps?

Hasta hace no mucho, era habitual encontrar los trabajos de DevOps (desarrollo y operaciones) en un equipo diferenciado al de seguridad. Esta última entraba en juego de forma aislada y únicamente en la etapa final del proceso. 

Todo esto ha cambiado. Los rápidos ciclos de desarrollo requieren mucha más celeridad en todos los aspectos, y la seguridad es uno de ellos. Actualmente, se trata de un marco de trabajo integrado en todo el desarrollo, compartiendo responsabilidad con el resto de los equipos. 

Este sistema no es simplemente un método de trabajo, sino que se trata de una filosofía propia, una cultura en la que la seguridad y el código van de la mano. El DevSecOps busca soluciones sencillas y ágiles dentro de unos procesos complejos que terminan en el desarrollo de un software mucho más completo. 

De esta manera, se atajan los problemas de seguridad de forma preventiva, antes de que lleguen a ocurrir. Para ello, es imprescindible automatizar algunos puntos de la seguridad como explicaremos más abajo; además de trabajar con las herramientas adecuadas para lograr una seguridad efectiva. 

Al fin y al cabo, lo importante es que entendamos que la seguridad debe ser parte fundamental de todo el proceso, integrada en el ciclo de vida del software. No queremos que sea un escudo protector que se establece alrededor, sino que se trabaje desde dentro.  

Uno de los cambios fundamentales en cualquier empresa de desarrollo será la importancia del equipo de seguridad en las reuniones iniciales. Ellos tendrán que aportar su perspectiva y preparar un plan de automatización de procesos; además de ayudar a los desarrolladores a escribir códigos con la seguridad en mente. 

Lo primero que se debe hacer es plantear una estrategia que defina la tolerancia a los riesgos y pueda analizar el balance de riesgo / beneficio que existe. Es muy importante automatizar las tareas repetitivas en seguridad que nos ahorren la enorme cantidad de tiempo necesaria para hacerlas manualmente. 

La automatización de la seguridad

Como ya hemos comentado, es necesario integrar todas las medidas de seguridad posibles en el desarrollo, pero que interrumpa lo menos posible las operaciones. Por eso es recomendable trabajar con ciclos cortos, algo que nos ayudará a colaborar más asiduamente entre todos los equipos involucrados. 

Debemos tener información actualizada sobre las tecnologías que harán mejor a nuestro software, como pueden ser contenedores o microservicios; así como elegir qué tareas automatizar dentro de la seguridad. 

Toda organización que quiera implementar la cultura DevSecOps en tu flujo de trabajo, debe primero dar un paso atrás y ver todo el conjunto de operaciones que forman parte del desarrollo. 

Es indispensable pensar en la gestión de la interfaz de programación de aplicaciones (API), los registros de contenedores, la coordinación, gestión y supervisión de operaciones, repositorios de control de códigos fuente, la automatización de los lanzamientos o el canal de integración e implementación continuas (CI/CD). 

Las últimas tecnologías han permitido una automatización mayor de los controles, por lo que se han podido adoptar procesos más ágiles en el desarrollo de cualquier producto de estas características. Pero también han aparecido tecnologías nativas de la nube, por ejemplo, a las que deben adaptarse todos los sistemas de seguridad. 

DevSecOps en Qualoom

En nuestro modelo de negocio tenemos una visión unificada de la tecnología, que abarca los ejes de sistemas, desarrollo y seguridad para lograr un mejor conjunto global. Este workflow nos permite: 

  • Identificar de forma preventiva las vulnerabilidades del código y arquitectura. 
  • Aumentar la agilidad en los despliegues sin escatimar en aspectos de seguridad. 
  • Reducir los riesgos y responder a los cambios rápidamente. 
  • Obtener más oportunidades para crear builds automatizados y tests de QA. 
  • Reducir el Time-to-Market. 
  • Mejorar la colaboración y comunicación entre los equipos implicados. 
  • Aumentar la continuidad del negocio, permitiendo al equipo de seguridad realizar aportes de mayor valor. 
  • Otorgar el valor necesario a la seguridad y que todos los miembros tomen conciencia. 
  • Mejorar la capacidad de resiliencia y superación. 

Conseguir una integración completa de la seguridad en todo el proceso de desarrollo nos da la oportunidad de aprovechar las metodologías de todos los equipos para mejorar el resultado final. A diferencia de la protección final que, en muchas ocasiones, provocaba grandes retrasos en el desarrollo, tomamos la seguridad como parte del diseño para que sea un bloque único. 

En Qualoom Expertise Technology estamos convencidos de que este es el método de trabajo más inteligente, seguro y rentable, por lo que seguiremos apostando por él y desarrollando nuestro trabajo con esta cultura junto con nuestros socios estratégicos.