Cómo convertirse en un excelente ingeniero de DevSecOps
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
El mundo está empezando a dejar atrás Waterfall, Agile y ahora DevOps, entonces, ¿cuál es la próxima solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
