Cómo convertirse en un excelente ingeniero de DevSecOps
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
El mundo está empezando a dejar atrás Waterfall, Agile y ahora DevOps, entonces, ¿cuál es la próxima solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
