Cómo convertirse en un excelente ingeniero de DevSecOps
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
El mundo está empezando a dejar atrás Waterfall, Agile y ahora DevOps, entonces, ¿cuál es la próxima solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
