Veracode explica las estrategias fundamentales que se deben seguir para integrar la seguridad en iniciativas DevOps

El objetivo de la seguridad en el desarrollo de operaciones (conocido como DevSecOps) es construir un puente entre la rapidez y la seguridad en la creación de software. Hay quien sostiene que la base para elaborar e implantar con éxito una iniciativa DevOps o DevSecOps es tener una mentalidad correcta en lo que se refiere a la calidad del desarrollo, pero también sobre los procesos que apoyan la mejora continua y el aprendizaje constante a la alta velocidad que se requiere hoy en día.

Sin embargo, alcanzar con éxito el DevSecOps no es posible sin las tecnologías adecuadas para integrar la seguridad en todo el ciclo de vida del software. Veracode, compañía líder en dotar de seguridad al software, explica 5 consejos para implementar una estrategia de DevSecOps exitosa que puede a ayudar a transformar la cultura, los procesos y la tecnología para incluir la seguridad en iniciativas DevOps:

1. Automatizar la seguridad. La capacidad de automatizar las pruebas de seguridad a través de secuencias de comandos, análisis estáticos y dinámicos, análisis de librerías de código abierto (“Software Composition Analysis” o SCA, en inglés) e integración de pruebas dentro de las herramientas y procesos existentes contribuye en gran medida a identificar fallos al inicio del ciclo de vida del código y a acelerar una entrega segura del mismo.
2. Detectar vulnerabilidades de forma temprana. DevSecOps parte de la premisa de que es aconsejable que los fallos se produzcan en el ordenador del desarrollador cuando está creando el software antes que en el dispositivo del cliente. La búsqueda temprana de vulnerabilidades en el código requiere el uso complementos en el entorno de desarrollo integrado (IDE) que brinden información instantánea y sirvan de guía según se detecten las brechas, cambiando la seguridad para responder pronto en el ciclo de vida del desarrollo. 
3. No aceptar altas tasas de falsos positivos. Lograr el enfoque anterior requiere del uso de tecnología que pueda proporcionar resultados válidos a través de informes y dashboards, creando así visibilidad operativa para los equipos de desarrollo y de seguridad. Mantener los falsos positivos bajos permite que dichos equipos confíen en que las herramientas de seguridad empleadas no suponen un trabajo extra para ellos, eliminando la “fatiga de alerta” y mejorando la eficiencia y los tiempos de respuesta ante incidentes.
4. Emplear software de análisis de composición. Las herramientas de SCA pueden escanear aplicaciones completas y componentes de código abierto para garantizar que los equipos de desarrollo no incluyan involuntariamente código con vulnerabilidades conocidas. Además, el análisis de composición permite crear un inventario de los componentes que se están utilizando, por lo que es más fácil localizarlos y actualizarlos cuando se revela una vulnerabilidad. 

En agosto de 2019, se descubrió una vulnerabilidad en el proxy web de Squid que permitía a los ciberdelincuentes enviar una solicitud diseñada al servidor de destino, lo que resultó en la ejecución del código en el contexto del proceso de Squid. Según los investigadores, una explotación exitosa podría haber dado como resultado que el atacante pudiera ejecutar código arbitrario con los privilegios del proceso del servidor, mientras que un ataque fallido podría haber provocado que el proceso del servidor terminara de manera anormal.

Enfatizar en las necesidades de los desarrolladores

Algunos olvidan que solo el equipo de desarrollo puede solucionar las brechas de seguridad. Sin embargo, muchos equipos de seguridad no tienen banda ancha para autorizar a los desarrolladores, por lo que no pueden reducir el riesgo o la deuda de seguridad con facilidad, igual que tampoco pueden minimizar la acumulación de fallos sin resolver que perduran en el tiempo. Los mejores programas AppSec permiten a los desarrolladores: realizar feedback de seguridad en el IDE en segundos; proporcionar recomendaciones sobre cómo solucionar fallos al mismo tiempo que los encuentran; dar asesoramiento automatizado; hacer revisiones del código con expertos en codificación segura; capacitar a los desarrolladores en seguridad; y crear programas de campeones de seguridad (security champions program, en inglés).

“Lograr el DevSecOps supone muchas oportunidades para los desarrolladores y equipos de IT, pero también implica ciertos retos. Utilizar plataformas de AppSec exahustivas es fundamental para alcanzar con éxito esta estrategia, y para ello hay que tener siempre presente el fin en sí mismo: brindar a los desarrolladores herramientas rápidas y precisas, así como oportunidades de aprendizaje para permitirles integrar la seguridad en su trabajo”, señala Alejandro Novo, director de Veracode en España, Portugal e Italia. “Junto a esto, DevSecOps también requiere de procesos robustos vinculados a métricas y a indicadores clave del rendimiento para permitir que la gestión y la organización de seguridad comprendan el valor de AppSec”, añade.