Cómo convertirse en un excelente ingeniero de DevSecOps
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
El mundo está empezando a dejar atrás Waterfall, Agile y ahora DevOps, entonces, ¿cuál es la próxima solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
