-

¿Qué es DevSecOps?

Si desea una definición simple de DevSecOps, es la abreviatura de desarrollo, seguridad y operaciones. Su mantra es hacer que todos sean responsables de la seguridad con el objetivo de implementar decisiones y acciones de seguridad a la misma escala y velocidad que las decisiones y acciones de desarrollo y operaciones.

Cada organización con un marco de DevOps debería buscar cambiar hacia una mentalidad DevSecOps y llevar a las personas de todas las habilidades y en todas las disciplinas tecnológicas a un mayor nivel de competencia en seguridad. 
Desde la prueba de posibles vulnerabilidades de seguridad hasta la creación de servicios de seguridad orientados a los negocios, un marco DevSecOps que utiliza herramientas DevSecOps garantiza que la seguridad se incorpore a las aplicaciones en lugar de ser atornillada al azar.

Al garantizar que la seguridad esté presente durante todas las etapas del ciclo de vida de la entrega de software, experimentamos una integración continua donde el costo de cumplimiento se reduce y el software se entrega y libera más rápido.

¿Cómo funciona DevSecOps?

Los beneficios de DevSecOps son simples: la automatización mejorada en todo el proceso de entrega de software elimina errores y reduce los ataques y el tiempo de inactividad. Para los equipos que buscan integrar la seguridad en su marco DevOps, el proceso puede completarse sin problemas utilizando las herramientas y procesos DevSecOps correctos.

Echemos un vistazo a un flujo de trabajo típico de DevOps y DevSecOps:

1. Un desarrollador crea código dentro de un sistema de gestión de control de versiones.
2. Los cambios están comprometidos con el sistema de gestión de control de versiones.
3. Otro desarrollador recupera el código del sistema de gestión de control de versiones y realiza un análisis del código estático para identificar cualquier defecto de seguridad o error en la calidad del código.
4. Luego se crea un entorno, utilizando una herramienta de infraestructura como código, como Chef. La aplicación se implementa y las configuraciones de seguridad se aplican al sistema.
5. Luego se ejecuta una suite de automatización de prueba contra la aplicación recién implementada, que incluye back-end, UI, integración, pruebas de seguridad y API.
6. Si la aplicación pasa estas pruebas, se implementa en un entorno de producción.
7. Este nuevo entorno de producción se monitorea continuamente para identificar cualquier amenaza de seguridad activa para el sistema.
8. Con un entorno de desarrollo basado en pruebas y pruebas automatizadas y una integración continua parte del flujo de trabajo, las organizaciones pueden trabajar sin problemas y rápidamente hacia un objetivo compartido de mayor calidad de código y mayor seguridad y cumplimiento.

 ¿Por qué necesitamos DevSecOps?

El panorama de la infraestructura de TI ha experimentado cambios exponenciales durante la última década. El cambio a plataformas ágiles de computación en la nube, almacenamiento y datos compartidos, y aplicaciones dinámicas ha traído enormes beneficios a las organizaciones que buscan prosperar y crecer mediante el uso de aplicaciones y servicios avanzados.

Sin embargo, si bien las aplicaciones DevOps han avanzado en términos de velocidad, escala y funcionalidad, a menudo carecen de seguridad y cumplimiento sólidos. Por esta razón, DevSecOps se introdujo en el ciclo de vida de desarrollo de software para reunir el desarrollo, las operaciones y la seguridad bajo un mismo paraguas.

Los hackers siempre están buscando las mejores formas de implementar malware y otras vulnerabilidades. Imagine si pudieran insertar malware en una aplicación durante el proceso de compilación, y que este malware no se descubriera hasta que la aplicación se haya distribuido a miles de clientes. El daño tanto al sistema del cliente como a la reputación de la compañía sería enorme, especialmente en un mundo donde las malas noticias se vuelven virales en cuestión de minutos.

Hacer de la seguridad una consideración equitativa junto con el desarrollo y las operaciones es imprescindible para cualquier organización involucrada en el desarrollo y distribución de aplicaciones. Cuando integra DevSecOps y DevOps, cada desarrollador y administrador de red tiene la seguridad en mente al desarrollar e implementar aplicaciones.

Mejores prácticas de DevSecOps

Las organizaciones que desean unir las operaciones de TI, los equipos de seguridad y los desarrolladores de aplicaciones deben integrar la seguridad en sus canalizaciones de DevOps. El objetivo es hacer de la seguridad un componente central del flujo de trabajo de desarrollo de software, en lugar de adaptarlo más adelante durante el ciclo.

Estas son solo algunas de las mejores prácticas que harán que el proceso DevSecOps funcione sin problemas:

La automatización es buena : DevOps tiene que ver con la velocidad de entrega, y esto no necesita estar comprometida solo porque está agregando seguridad a la mezcla. Al incorporar controles de seguridad automatizados y pruebas al inicio del ciclo de desarrollo, puede garantizar la entrega rápida de sus aplicaciones.

Use DevSecOps para mayor eficiencia: solo está agregando seguridad a sus flujos de trabajo. Al usar herramientas que pueden escanear código a medida que lo escribe, puede encontrar problemas de seguridad antes.

Lleve a cabo el modelado de amenazas: los ejercicios de modelado de amenazas pueden ayudarlo a descubrir las vulnerabilidades de sus activos y tapar cualquier brecha en los controles de seguridad. La protección de datos dinámicos de Forcepoint puede ayudarlo a identificar los eventos más riesgosos que ocurren en su infraestructura y a incorporar la protección necesaria en sus flujos de trabajo DevSecOps.
Si bien aún existe cierto consenso sobre lo que DevSecOps realmente significa para las empresas, es evidente que su valor se encuentra en un mundo de ciclos de lanzamiento rápidos, amenazas de seguridad en evolución e integración continua.

Comentarios

Publicar un comentario

Entradas populares de este blog

AWS SAM y AWS Lambda docker Container Image tutorial con PYTHON USANDO A...

-
Imagen
Objetivo de este post  vamos a crear un proyecto con AWS SAM que nos permita crear automaticamente un lambda de tipo container y podamos a mismo tiempo subir la imagen a AWS ECR SAM nos va a facilitar todo es casi magico si deseas ver esto tengo un video donde lo explico pero si prefieres leer continua mas abajo AWS Lambda type container with AWS SAM   Vamos con los pasos, es realmente fácil así que vamos a enumerar los paso: 1 Instalar AWS SAM  2 Configuración de ambiente local para lanzar comandos en AWS 3 Ejecutar los comandos de SAM  4 Seguir con el wizard de AWS SAM  5 Ejectuar comandos de SAM para hacer el despliegue 6 disfrutar de la vida porque SAM ya hizo todo  1 instalar AWS SAM  Para hacer esto se puede hacer los siguiente: curl "https://github.com/aws/aws-sam-cli/releases/latest/download/aws-sam-cli-linux-x86_64.zip" -o "sam.zip" unzip sam.zip -d sam-installation ./sam-installation/install una breve explicacion es que descargas el zip con el instalador
Leer más

Solucion: Docker Error: No such container:

-
Imagen
El error "Error response from daemon: No such container:" es muy facil de resolver el problema es que no has dado un nombre correcto de container.  Busca el nombre REAL del container y listo!!!! mira este video si no te gusta leer   VIDEO:SOLUCION A Error response from daemon: No such container:    Usa el comando docker ps -a y te mostrara una tabla con los siguientes indices CONTAINER ID        IMAGE    COMMAND  CREATED   STATUS   PORTS   NAMES los campos importantes aqui son CONTAINER ID Y NAMES , aqui se listan los nombres reales del container; asi podras acceder y manipular el container que deseas. los comandos basicos que te permiten manipular container y por ende necesitan el nombre del contenedor o el id del contenedor son: docker start  docker run  docker stop docker reset docker logs recuerdas que para cualquiera de los comandos de docker anteriores debes usar el nombre del container o el id del container  si aun no te queda claro te dejo un video donde puedes ver
Leer más

Los unicas 4 herramientas que necesitas para volverte un master en Devops

-
  Cuando alguien quiere estudiar DevOps, lo primero con lo que se topa es una serie de herramientas y habilidades cada vez más crecientes. Te estoy hablando de más de 50 herramientas y un sinfín de habilidades que se supone que debe tener un DevOps o un especialista en la nube. Pero, ¿realmente necesitamos aprender todo eso para llamarnos DevOps o profesionales en la nube? DevOps y Cloud son las cosas más populares en el mercado de TI en este momento. Pero con esto, llega una montaña de herramientas que escuchamos como Docker, Jenkins, Grafana, Prometheus, Kubernetes, ArgoCD, Bamboo, Helm... ¡Más de 100 otras! No solo es una cantidad enorme de herramientas disponibles, sino que siempre salen más y aparte, no todas las empresas usan todas. Aunque hay herramientas muy usadas o famosas, existe la posibilidad de que en la empresa donde entres no las usen como se acostumbra. Es decir, el problema de la cantidad de herramientas existentes hay que sumarle que las empresas usan las que más se
Leer más