Gestión de vulnerabilidades y DevSecOps con CI/CD

En 2018, el 90 % de las instituciones financieras informaron haber sido blanco de malware y, a nivel mundial, los ataques de ransomware aumentaron un 350 % ese mismo año. En 2020, Twitter, la cadena hotelera Marriott, MGM Resorts, Zoom y Magellan Health informaron de algún tipo de violación de seguridad [1]. Estas estadísticas demuestran la importancia de la seguridad y la gestión de vulnerabilidades. Las organizaciones deben hacer de la seguridad una parte de su proceso de desarrollo. Analicemos esto.

Alta adopción de DevOps

El desarrollo es el proceso de escribir y mantener código. Incluye todas las actividades que se requieren para pensar en el software o la función y luego llevarlo al "mundo real" para sus usuarios previstos. Operaciones u Operaciones de TI se refiere al conjunto de actividades que realiza el departamento de TI de una organización. El departamento de TI define cómo se estructura, mantiene y administra el software y el hardware de una organización. El desarrollo requiere herramientas de software y el hardware adecuado. Por lo tanto, el desarrollo y la TI dependen uno del otro. DevOps es un enfoque para el desarrollo de software donde, en lugar de funcionar como dos equipos separados y aislados, Desarrollo y Operaciones funcionan como un solo equipo a lo largo del ciclo de vida de una aplicación. Reconociendo los beneficios de este enfoque, la mayoría de las organizaciones hoy en día utilizan un modelo DevOps.

Véase también: El estado de la distribución de software en 2020

La necesidad de DevSecOps

Sin embargo, un área importante que no está cubierta por el modelo DevOps es la seguridad y esto ha dado lugar a la necesidad de DevSecOps. Las vulnerabilidades de seguridad pueden aparecer en varios puntos del proceso de desarrollo de DevOps. Tradicionalmente, la seguridad se añadía al software al final del ciclo de vida del desarrollo, pero así como el enfoque del desarrollo y las operaciones evolucionó hacia DevOps, existe la necesidad de nuevos enfoques para la gestión de vulnerabilidades. La seguridad debe convertirse en parte del desarrollo. Un sistema que tiene en cuenta el desarrollo, las operaciones y la seguridad como un proceso continuo se conoce como DevSecOps. La seguridad está integrada en todas las etapas del diseño del desarrollo, la integración, las pruebas, la implementación y la entrega. DevSecOps permite a las organizaciones abordar los problemas de seguridad a medida que surgen. Los problemas se pueden abordar mientras son más fáciles de solucionar, menos costosos y antes de que lleguen a la producción y provoquen daños.

En este libro electrónico de CircleCI puede encontrar información sobre cómo los desarrolladores modernos y los profesionales de DevOps pueden usar CI/CD para adoptar un enfoque DevSecOps para la gestión de vulnerabilidades.

Fuente:

1. nd, '2021 Cyber Security Statistics The Ultimate List Of Stats, Data & Trends', Purplesec [disponible en línea] disponible en: https://purplesec.us/resources/cyber-security-statistics/ [consultado en abril de 2021]