El desarrollo de software seguro en ocasiones es un dilema, porque los equipos de desarrollo se enfrentan a situaciones en las que, o cumplen con los tiempos establecidos para sus proyectos o son minuciosos para generar desarrollos de código con la seguridad necesaria para blindar su producto.
Actualmente existen posturas y filosofías que se oponen a esta visión y a esta práctica, ya que objetan que el desarrollo no tiene que correr en un proceso independiente de la seguridad de aplicaciones, sino que ambas pueden ir de la mano. DevSecOps, es el enfoque que busca que este objetivo se cumpla y en su manifiesto expresan:
“Sabemos que debemos adaptar nuestras formas rápidamente y fomentar la innovación para garantizar que la seguridad de los datos y los problemas de privacidad no se queden atrás por haber sido demasiado lentos en el cambio… No esperaremos a que nuestras organizaciones sean víctimas de errores y atacantes. No nos conformaremos con encontrar lo que ya se sabe, sino que buscaremos anomalías aún no detectadas”, Manifiesto DevSecOps.
DevSecOps es la visión para comenzar a integrar la seguridad desde la fase de inicio del desarrollo de software, para que esto sea consistente durante todo el ciclo de vida del proyecto. Lo que evita que la seguridad se conciba como algo independiente al producto. Ya que lo que sucede en muchas ocasiones es que la seguridad es relegada y es hasta el final del desarrollo, cuando se realizan ciertas pruebas, lo cual puede ocasionar que muchas brechas no sean consideradas, además de gastos no necesarios en tiempo y recursos.
“Cuando alguien construye (código) casi siempre el enfoque es tener buenas prácticas de desarrollo y hoy se pone sobre la mesa la ecuación de seguridad. Está segmentado porque hay un equipo de desarrollo que en su mente tiene la idea de entregar con velocidad y hay otro equipo independiente que es el de seguridad, el que dice -no podemos liberar hasta que pase los controles y estándares de seguridad- y ahí empiezan los conflictos para el go-to-market del producto”, tal como lo explica Sitlalmina Hernández, Directora de Unidad de Negocio en Cybolt.
El dilema principal de los equipos de desarrollo es entonces elegir si hacerlo rápido y funcional, o seguro y con un proceso lento. No obstante, pueden adoptar prácticas ágiles sin tener que sacrificar la seguridad con resultados funcionales a semanas o días del arranque del proyecto.
De hecho, hacerlo con un enfoque DevSecOps, permite tener tiempos de liberación cortos y ahorra tiempo en resolver problemas que se tendrían que enfrentar en un futuro, o bien, al presentarse una dificultad, se puede resolver de forma más efectiva.
Una visión que están adoptando cada vez más todos los equipos de desarrollo alrededor del mundo, ya que integra la seguridad de forma ágil. La premisa de trabajo en los equipos de desarrollo es que todos sean responsables de la seguridad y que cada integrante desarrolle las habilidades necesarias para lograrlo.
Una postura de DevSecOps, busca mayor robustez, un posicionamiento firme que garantice la seguridad, capacidad de reconocer vulnerabilidades y registrar todo lo que sucede. La idea es desarrollar sabiendo que siempre puede suceder un ataque, incluyendo los conocidos zero-day.
Más rápido y más efectivo
Un proceso de desarrollo con seguridad también impacta positivamente en los costos, ya que no se tienen que realizar tareas dobles, y al volver los tiempos más cortos, el costo puede reducirse.
Asimismo, cuando se desarrolla de esta forma, los equipos pueden ser más ágiles para aplicar parches, también se evita un proceso final de ajustes que puede intervenir radicalmente en el resultado del desarrollo final.
De igual modo se pueden automatizar las pruebas que se hacen, si una organización utiliza una línea de trabajo de integración, lo que indica que se podrá garantizar la detección, corrección y mitigación de vulnerabilidades y que el desarrollo cumpla con los estándares de seguridad adecuados, como por ejemplo: OWASP TOP 10, PCI, entre otros, ya que el código es probado con análisis estático para detectar errores en fases iniciales y análisis dinámico mientras se ejecuta el código para complementar el análisis haciendo pruebas en una aplicación operativa y funcional.
Otro de los beneficios que les ayudará a ahorrar tiempo a las empresas es que al hacer este tipo de desarrollos y detallar el proceso, podrá mantener los registros para repetir ciertos pasos en siguientes proyectos, adoptando todo el conocimiento adquirido en situaciones anteriores. Es decir, se pueden repetir procesos, pero de forma adaptativa.
La oferta Cybolt
En palabras de Sitlalmina Hernández, el desarrollo seguro ayuda a que los equipos tengan herramientas para que mientras se codifica se cuente con herramientas que permiten identificar vulnerabilidades, para que “el esfuerzo sea menor en todo el proceso; tanto la revisión, como en el desarrollo de producto, porque el diseño y seguridad ya será más maduro. Lo que se refleja en go-to-market”.
En Cybolt podrá encontrar servicios de desarrollo de código seguro y gestión de secretos, con estos servicios podrá alcanzar los beneficios antes descritos. Para el desarrollo seguro utilizamos la tecnología de Vercode y Fortify, junto con ellas ayudamos a identificar las vulnerabilidades en las librerías de codificación de terceros o código abierto, y podemos hacer una calificación de riesgos, para poder priorizar qué atender primero.
Cybolt también puede proveer la capacitación de desarrollo seguro, herramientas para los desarrolladores, análisis conjunto de aplicaciones, en un modelo de servicio, o bien hacer la entrega de la solución de modo tradicional.
¿Y usted ya comenzó a adoptar una postura de desarrollo seguro en su empresa? Contacte a uno de nuestros especialistas, contamos con ingenieros capacitados para ayudarle a proveer la seguridad de sus aplicaciones y los desarrollos seguros en su organización.
Conozca más sobre la oferta de Cybolt.
