Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Dev Sec Ops
Dev Sec Ops
2
INTRODUCCIÓN
________________________________________________________
mundo en que vivimos. En la actualidad, la industria del software es una de las áreas
3
ÍNDICE
________________________________________________________
Contenido
INTRODUCCIÓN .................................................................................................................................. 3
ÍNDICE ............................................................................................................................................... 4
Qué es DevSecOps .............................................................................................................................. 6
¿Qué significa la palabra DevSecOps? ............................................................................................... 7
¿En qué consiste? ............................................................................................................................... 8
Importancia de DevSecOps ................................................................................................................ 9
Resumen. .......................................................................................................................................... 10
Objetivo Principal ............................................................................................................................. 11
DevSecOps Vs DevOps ...................................................................................................................... 12
Partes de DevSecOps ........................................................................................................................ 13
Seguridad como código SaC ............................................................................................................. 15
Infraestructura como codigo IaC ...................................................................................................... 17
Habilidades de DevSecOps ............................................................................................................... 18
Herramientas de DevSecOps ............................................................................................................ 19
IMPLEMENTACIÓN DEL DEVSECOPS ................................................................................................ 20
IMPLEMENTACIÓN DEL DEVSECOPS ................................................................................................ 21
Desafíos comunes en la implementación de DevSecOps en empresas .......................................... 22
Ejemplo de empresas que han implementado DevSecOps ........................................................ 22
Prácticas recomendadas del DevSecOps ......................................................................................... 23
Ejemplo: Caso de una empresa que implementa DevSecOps ........................................................ 24
Beneficios DevSecOps ...................................................................................................................... 25
Aumenta y mejora el nivel de seguridad ..................................................................................... 25
Automatización............................................................................................................................. 25
Aumento de la velocidad de entrega y reducción de los gastos ................................................. 26
Se apoya la sinceridad y la transparencia desde el comienzo del desarrollo............................. 26
Desventajas de DevSecOps .............................................................................................................. 27
Componentes de la filosofía DevSecOps ......................................................................................... 28
Aplicación/Inventario API ............................................................................................................ 28
Seguridad codificada personalizada ............................................................................................ 28
4
Seguridad de código abierto ........................................................................................................ 28
Prevención del tiempo de ejecución ............................................................................................ 29
Monitorización del cumplimiento................................................................................................ 29
Factores culturales........................................................................................................................ 29
CONCLUSIÓN..................................................................................................................................... 30
Bibliografía ........................................................................................................................................ 31
5
Qué es DevSecOps
________________________________________________________
6
¿Qué significa la palabra DevSecOps?
________________________________________________________
7
¿En qué consiste?
________________________________________________________
8
Importancia de DevSecOps
________________________________________________________
9
Resumen.
________________________________________________________
10
Objetivo Principal
________________________________________________________
11
DevSecOps Vs DevOps
________________________________________________________
Antes, los procesos de desarrollo de software duraban meses e incluso años. Sin
embargo, con DevOps las entregas de software son cada vez más cortas y
frecuentes (de semanas o días). Como resultado, cumplir con un alto nivel de
seguridad en los desarrollos se ha convertido en todo un desafío. Esto ha provocado
que las empresas se vean en la tesitura de tener que decidir entre un buen grado
de seguridad en sus desarrollos, que conlleva más tiempo, o ciclos más cortos
renunciando a la seguridad.
DevSecOps reúne las ventajas de estos dos enfoques y promueve entregas más
rápidas y seguras de software. DevOps no pretendía dejar de lado la seguridad,
pero a medida que se eliminaron las barreras entre los equipos de desarrollo y de
operaciones, la seguridad se fue quedando aislada. Era realizada por un equipo
determinado al final del proceso.
DevSecOps surgió para cambiar esta situación, integrando la seguridad desde el
principio y a lo largo de todo el ciclo y ampliando la responsabilidad sobre la misma
a los demás equipos. Tanto DevOps como DevSecOps son metodologías de trabajo
que persiguen el mismo objetivo: entregar software de calidad de forma más rápida.
Solamente que con DevSecOps además se hace de forma segura.
En definitiva, DevOps y DevSecOps son enfoques de desarrollo de software
basados en la colaboración, la responsabilidad compartida, la automatización, el
feedback y la mejora continua.
12
Partes de DevSecOps
________________________________________________________
13
escalabilidad, ya que la infraestructura se puede modificar y escalar con facilidad a
medida que cambian las necesidades de la empresa.
14
Seguridad como código SaC
________________________________________________________
15
En resumen, SAC es una práctica fundamental en la implementación de
DevSecOps, que tiene como objetivo integrar la seguridad en el proceso de
desarrollo de software mediante la codificación de medidas de seguridad en el
código. Al integrar la seguridad en todo el ciclo de vida del software, se puede
garantizar que el software entregado sea seguro y cumpla con los estándares de
seguridad requeridos. Si bien la implementación de SAC puede requerir una
inversión significativa de tiempo y recursos, las ventajas a largo plazo, como la
reducción de costos de seguridad, pueden ser significativas.
16
Infraestructura como codigo IaC
________________________________________________________
17
Habilidades de DevSecOps
________________________________________________________
Estas son algunas de las principales habilidades que necesitan los ingenieros de
DevSecOps:
18
Herramientas de DevSecOps
________________________________________________________
19
IMPLEMENTACIÓN DEL DEVSECOPS
________________________________________________________
20
IMPLEMENTACIÓN DEL DEVSECOPS
________________________________________________________
21
Desafíos comunes en la implementación de DevSecOps en empresas
_______________________________________________________
1. Netflix.
2. Amazon.
3. Microsoft.
4. Google.
5. Adobe.
6. Spotify
7. IBM
22
Prácticas recomendadas del DevSecOps
________________________________________________________
Las empresas utilizan los siguientes enfoques para apoyar la transformación digital
por medio de DevSecOps.
23
Ejemplo: Caso de una empresa que implementa DevSecOps
________________________________________________________
Podemos presentar los conceptos explicados hasta ahora con un práctico ejemplo
del día a día de un usuario particular.
Sin embargo, si la aplicación luego se amplía con una función que permita escanear
y procesar automáticamente tiques de compra, la cosa cambia. Se estarían
entonces recogiendo y analizando muchos datos en servidores, por lo que sería
muy importante la seguridad en la comunicación y el procesamiento de los datos.
En un caso como este, relegar los mecanismos de seguridad al final del proceso
retrasaría el lanzamiento de la nueva función quizá medio año.
24
Beneficios DevSecOps
________________________________________________________
Automatización
La automatización es otro beneficio
importante de DevSecOps y se
considera el denominador común.
Dos de las iniciativas DevSecOps que más se utilizan son la automatización del
proceso de gestión de vulnerabilidades y el escaneo de la configuración de código
abierto.
25
Además, permite que amplíen sus perspectivas en todo el SDLC (ciclo de vida de
desarrollo de un sistema), independientemente del marco de implantación.
Así mismo, se reducen los costes, ya que no se tienen que realizar cambios de
forma constante, por motivos de seguridad. El mismo motivo por el que disminuyen
los plazos de entrega. Al planificar e involucrar a los equipos de seguridad en todas
las fases del desarrollo, se minimizan los problemas relacionados con la seguridad,
lo que se traduce en una entrega más barata.
26
Desventajas de DevSecOps
________________________________________________________
Una de las principales desventajas es que puede requerir una inversión significativa
en tiempo y recursos. La implementación de DevSecOps requiere la adopción de
nuevas herramientas y procesos, lo que puede llevar tiempo y requerir una
capacitación adecuada para los equipos de desarrollo y seguridad.
27
Componentes de la filosofía DevSecOps
________________________________________________________
Los acercamientos de DevSecOps pueden incluir estos importantes componentes:
Aplicación/Inventario API
• Automatice el descubrimiento, descripción y monitorización continua del
código en todo el portafolio. Esto puede incluir código de producción en
centros de datos, entornos virtuales, nubes privadas, nubes públicas,
contenedores, sin servidor y más. Use una combinación de herramientas de
detección automatizada y auto inventariado. Las herramientas de detección
le ayudan a identificar qué aplicaciones y APIs tiene. Las herramientas de
generación automática de informes permiten que sus aplicaciones realicen
un inventario propio automático y notifiquen sus metadatos a una base de
datos central.
Seguridad codificada personalizada
• Supervise su software de forma continua y halle vulnerabilidades en todo el
desarrollo, pruebas y operaciones. Entregue código frecuentemente para que
las vulnerabilidades puedan identificarse rápidamente con cada actualización
de código.
• La prueba de seguridad de aplicaciones estáticas (SAST) analiza los archivos
fuente de la aplicación, identifica con precisión la causa del problema y le
ayuda a solucionar los defectos de seguridad subyacentes.
• La prueba dinámica de seguridad de aplicaciones (DAST) simula ataques
controlados a una aplicación o a un servicio web en ejecución para identificar
vulnerabilidades explotables en un entorno en ejecución.
• Las pruebas de seguridad de aplicaciones interactivas (IAST) proporcionan
un escaneado en profundidad al instrumentar la aplicación usando agentes y
sensores para analizar continuamente la aplicación, su infraestructura,
dependencias y flujo de datos, así como todo el código.
28
Prevención del tiempo de ejecución
• Proteja sus aplicaciones en producción -pueden descubrirse nuevas
vulnerabilidades, o puede que aplicaciones obsoletas no estén en desarrollo.
• El registro puede informarle de qué tipos de vectores y sistemas de ataque
están siendo el objetivo. La inteligencia sobre amenazas le informa de los
procesos de modelado de
amenazas y arquitectura de
seguridad.
• Las aplicaciones de
instrumentos de Runtime
Application Self-Protection
(RASP) miden directamente
los ataques desde el interior, e
impiden que se utilicen de las vulnerabilidades internas.
29
CONCLUSIÓN
________________________________________________________
30
Bibliografía
________________________________________________________
• https://aws.amazon.com/es/what-is/devsecops/
• https://www.microfocus.com/es-es/what-is/devsecops
• https://www.computerweekly.com/es/definicion/SecOps-o-DevSecOps
• https://www.kolibers.com/implementacion_devsecops.html
• https://www.iebschool.com/blog/devops-ventajas-beneficios-agile-
scrum/#:~:text=DevOps%20es%20una%20metodolog%C3%ADa%20de,co
ste%2C%20y%20a%20una%20mayor%20velocidad
• https://www.redhat.com/es/topics/devops/what-is-
devsecops#:~:text=DevSecOps%20significa%20desarrollo%2C%20segurid
ad%20y,de%20vida%20de%20la%20TI
• https://es.m.wikipedia.org/wiki/Wikipedia:Portada
• https://concepto.de/
• https://snyk.io/learn/infrastructure-as-code-iac.com
• https://www.redhat.com/es/topics/devops/what-is-devsecops
• https://www.synopsys.com/glossary/what-is-devsecops.html
• https://www.atlassian.com/es/devops/devops-tools/devsecops-tools
• https://www.computerweekly.com/es/definicion/SecOps-o-DevSecOps
31