{"id":26617,"date":"2021-09-17T12:17:10","date_gmt":"2021-09-17T10:17:10","guid":{"rendered":"https:\/\/www.mtp.es\/?p=26617"},"modified":"2021-09-17T12:17:10","modified_gmt":"2021-09-17T10:17:10","slug":"la-moda-del-devsecops","status":"publish","type":"post","link":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/","title":{"rendered":"La moda del DevSecOps"},"content":{"rendered":"

Cuando algo se pone de moda crea una tendencia, basada en una necesidad espec\u00edfica, y como cualquier moda viene el termino DevSecOps<\/strong> para crear tendencia sobre seguridad en todos los desarrollos que utilizan o est\u00e1n en proceso de utilizar metodolog\u00edas DevOps<\/a><\/strong>.<\/p>\n

Como se suele decir, algunas modas no pasan y se mantienen en el tiempo; pues eso es lo que representa DevSecOps<\/strong>, esa tendencia que est\u00e1 llegando en todas las empresas para quedarse\u2026<\/p>\n

Pero\u2026 \u00bfQu\u00e9 es DevSecOps?<\/strong><\/h3>\n

Este t\u00e9rmino viene de la abreviatura de Dev<\/em> equivalente a Desarrollo<\/strong>, Sec<\/em> equivalente a Seguridad <\/strong>y Ops<\/em> equivalente a Operaciones <\/strong>y su objetivo fundamental es unir los tres mundos. Como ya existe mucho camino recorrido en la uni\u00f3n de Desarrollo con Operaciones en la mayor\u00eda de las organizaciones, lo que se suele dar es introducir la Sec (Seguridad) en ese mundo DevOps; de hecho, en algunos foros es utilizado el termino SecDevOps.<\/p>\n

En resumen, bajo una cultura de metodolog\u00edas agiles<\/strong>, entregas por fases y automatizaci\u00f3n, DevSecOps consiste en incluir la seguridad y las diferentes pruebas asociadas en el ciclo de desarrollo para hacerlo m\u00e1s seguro.<\/p>\n

Y ahora\u2026 \u00bfC\u00f3mo lo implemento?<\/strong><\/h3>\n

DevSecOps no es solo una palabra, es una serie de metodolog\u00edas y frameworks<\/em> que ayudan a las empresas a integrar la seguridad en sus desarrollos<\/strong> bajo el paradigma de DevOps. Para ello, como base principal de implantaci\u00f3n, se tiene que crear una cultura de seguridad basada en la concienciaci\u00f3n de los equipos de desarrollo, para que se tenga en cuenta ese aspecto siempre, al igual que siempre se han tenido en cuenta otros aspectos como la calidad del software<\/em><\/strong> por ejemplo.<\/p>\n

El modelo que se suele seguir cuando se implementa es conocido como Security Shift Left<\/em><\/strong> o seguridad hacia la izquierda del desarrollo. En este modelo se recomienda ir realizando pruebas de seguridad<\/strong> desde las fases m\u00e1s tempranas de los mismos, para de esta forma detectar vulnerabilidades<\/strong> cuando no existe demasiado c\u00f3digo y, por ende, sean m\u00e1s f\u00e1ciles de corregir y el coste de resoluci\u00f3n sea menor, como se muestra en la siguiente imagen comparativa:<\/p>\n

\"\"<\/a><\/p>\n

Este modelo de intentar realizar todas las correcciones en fases tempranas no implica que en fases previas a la producci\u00f3n o incluso en fases de mantenimiento, no se realicen pruebas de seguridad; pero las que se realicen en esas fases m\u00e1s tard\u00edas ser\u00e1n para verificar que todo lo detectado se ha corregido y que no se tienen posibles nuevas vulnerabilidades que hayan surgido en el tiempo.<\/p>\n

\u00bfC\u00f3mo de largo tiene que ser el camino?<\/strong><\/h3>\n

En este caso, va a depender del grado de madurez que tenga la organizaci\u00f3n y, sobre todo, a d\u00f3nde se quiera llegar, por lo que siempre se aconseja hacer un estudio exhaustivo de la situaci\u00f3n que se tiene en cada compa\u00f1\u00eda sobre las normativas de seguridad que tengan en los desarrollos, las herramientas que dispongan, el presupuesto y otros diversos factores para definir ese camino a recorrer.<\/p>\n

\u00bfHay herramientas espec\u00edficas que pueden ayudar?<\/strong><\/h3>\n

En un enfoque inminentemente DevOps es fundamental la automatizaci\u00f3n de las pruebas<\/strong> de seguridad y de todos los procesos asociados, ya que las pruebas no deben de incrementar el tiempo de desarrollo. Para la realizaci\u00f3n de las mismas se suelen utilizar herramientas de seguridad que, integradas en el ciclo, ayudan a mejorar la seguridad de los desarrollo. A continuaci\u00f3n, se destacan algunas de ellas:<\/p>\n

–<\/u> Modelado de amenazas<\/u><\/strong>: Son herramientas que en fases de dise\u00f1o o planificaci\u00f3n del propio desarrollo, realizan un an\u00e1lisis de todas las amenazas que puede sufrir un aplicaci\u00f3n durante todas las fases de desarrollo, y las representan como requisitos de seguridad que debe de ir cumpliendo a lo largo del ciclo de vida.<\/p>\n

– <\/u>An\u00e1lisis de c\u00f3digo<\/a> (tambi\u00e9n llamadas SAST)<\/u>:<\/strong> Son herramientas que buscan vulnerabilidades en el propio c\u00f3digo que se est\u00e1 desarrollando; se recomienda su integraci\u00f3n dentro del ciclo de vida en fases de construcci\u00f3n para que, a medida que el equipo de desarrollo va generando c\u00f3digo, se va chequeando que el mismo es seguro y en caso contrario se van corrigiendo las vulnerabilidades detectadas.<\/p>\n

–<\/u> Librer\u00edas de terceros o dependencias<\/u><\/strong>: Al igual que el punto anterior, se chequea el c\u00f3digo utilizado desarrollado por un tercero; en este caso se recomienda su integraci\u00f3n tambi\u00e9n en fases tempranas para ir comprobando que las dependencias que se utilizan no poseen problemas de seguridad.<\/p>\n

– <\/u>An\u00e1lisis din\u00e1mico (tambi\u00e9n llamadas DAST)<\/u>:<\/strong> Son herramientas que analizan la aplicaci\u00f3n en fases previas a pasar a producci\u00f3n o fases donde el software<\/em> ya es lo suficientemente robusto; consiste en realizar pruebas de seguridad din\u00e1micas autom\u00e1ticas que sirven para corroborar que el software<\/em> llega seguro a las \u00faltimas fases del desarrollo.<\/p>\n

Aunque hemos definido alguna de las pruebas de seguridad con herramientas, existen otras pruebas de seguridad que no se pueden automatizar ya que requieren de un equipo humano de expertos<\/strong> que las ejecuten, como suelen ser los pentesting<\/em><\/strong> que son ejercicios de \u2018Hacking \u00c9tico\u2019<\/em> a las aplicaciones, en los que se busca posibles fallos de seguridad que quiz\u00e1 utilizando las herramientas por s\u00ed solas no se detectan o por cualquier circunstancia se han pasado por alto.<\/p>\n

\u00bfQu\u00e9 beneficios voy a tener?<\/strong><\/h3>\n

Implementar una cultura y un modelo DevSecOps<\/strong> dentro de una organizaci\u00f3n tiene muchos beneficios entre los que destacan:<\/p>\n

– Usar metodolog\u00edas que den gobierno a la seguridad en el desarrollo<\/strong> de aplicaciones y ayuden a reducir el riesgo de las compa\u00f1\u00edas.<\/p>\n

– Realizaci\u00f3n<\/strong> de todas las pruebas de seguridad<\/strong> mediante iteraciones sin ralentizar los ciclos de entrega definidos.<\/p>\n

– Poseer capacidades t\u00e9cnicas<\/strong> para poder dar respuesta<\/strong> a diferentes problemas<\/strong> de seguridad o cambios<\/strong> que se puedan encontrar en alguna de las fases de desarrollo.<\/p>\n

Entrenar a los equipos de desarrollo<\/strong> en los problemas de seguridad m\u00e1s frecuentes para poder ser m\u00e1s agiles en la resoluci\u00f3n de vulnerabilidades futuras.<\/p>\n

Promover la cultura de seguridad<\/strong> en las aplicaciones entre los diferentes miembros del equipo.<\/p>\n

– Tener una visi\u00f3n<\/strong> de los niveles de riesgo de las aplicaciones de las empresas en base a las distintas vulnerabilidades<\/strong><\/p>\n

– Mejorar la seguridad global del software que se genera, reduciendo<\/strong> a su vez el time to market<\/em><\/strong> del mismo.<\/p>\n

En MTP<\/strong><\/a> somos expertos en dar servicios en DevSecOps<\/strong><\/a> en todo tipo de organizaciones, realizando labores de gobierno de la metodolog\u00eda ad-hoc<\/em>, desarrollando todas las pruebas de seguridad a lo largo del ciclo, implantando herramientas de seguridad y todos los trabajos relacionados con asegurar las aplicaciones dentro de nuestros diversos clientes.<\/p>\n

 <\/p>\n

Fernando Saavedra<\/strong><\/p>\n

Manager de Ciberseguridad MTP<\/p>\n","protected":false},"excerpt":{"rendered":"

Contemplar el factor de la seguridad en todo el proceso de desarrollo y ciclo de vida de un producto de software es la base del concepto DevSecOps. En este post explicamos en qu\u00e9 consiste y c\u00f3mo se puede implementar esta tendencia sobre seguridad, que ha llegado para quedarse.<\/p>\n","protected":false},"author":9,"featured_media":26615,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[146],"tags":[],"class_list":["post-26617","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad-informatica"],"acf":[],"yoast_head":"\nLa moda del DevSecOps<\/title>\n<meta name=\"description\" content=\"Contemplar el factor de la seguridad en todo el proceso de desarrollo y ciclo de vida de un producto de software es la base del concepto DevSecOps.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"La moda del DevSecOps\" \/>\n<meta property=\"og:description\" content=\"Contemplar el factor de la seguridad en todo el proceso de desarrollo y ciclo de vida de un producto de software es la base del concepto DevSecOps.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/\" \/>\n<meta property=\"og:site_name\" content=\"MTP Espa\u00f1a\" \/>\n<meta property=\"article:published_time\" content=\"2021-09-17T10:17:10+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/mtp.global\/es\/wp-content\/uploads\/2021\/09\/mtp_devsecops.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"1080\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"MTP\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"MTP\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"5 minutos\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"La moda del DevSecOps","description":"Contemplar el factor de la seguridad en todo el proceso de desarrollo y ciclo de vida de un producto de software es la base del concepto DevSecOps.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/","og_locale":"es_ES","og_type":"article","og_title":"La moda del DevSecOps","og_description":"Contemplar el factor de la seguridad en todo el proceso de desarrollo y ciclo de vida de un producto de software es la base del concepto DevSecOps.","og_url":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/","og_site_name":"MTP Espa\u00f1a","article_published_time":"2021-09-17T10:17:10+00:00","og_image":[{"width":1920,"height":1080,"url":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2021\/09\/mtp_devsecops.jpg","type":"image\/jpeg"}],"author":"MTP","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"MTP","Tiempo de lectura":"5 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/#article","isPartOf":{"@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/"},"author":{"name":"MTP","@id":"https:\/\/mtp.global\/es\/#\/schema\/person\/1186350db6f59e8360dd481150654813"},"headline":"La moda del DevSecOps","datePublished":"2021-09-17T10:17:10+00:00","mainEntityOfPage":{"@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/"},"wordCount":1138,"publisher":{"@id":"https:\/\/mtp.global\/es\/#organization"},"image":{"@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/#primaryimage"},"thumbnailUrl":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2021\/09\/mtp_devsecops.jpg","articleSection":["Ciberseguridad"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/","url":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/","name":"La moda del DevSecOps","isPartOf":{"@id":"https:\/\/mtp.global\/es\/#website"},"primaryImageOfPage":{"@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/#primaryimage"},"image":{"@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/#primaryimage"},"thumbnailUrl":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2021\/09\/mtp_devsecops.jpg","datePublished":"2021-09-17T10:17:10+00:00","description":"Contemplar el factor de la seguridad en todo el proceso de desarrollo y ciclo de vida de un producto de software es la base del concepto DevSecOps.","breadcrumb":{"@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/#primaryimage","url":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2021\/09\/mtp_devsecops.jpg","contentUrl":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2021\/09\/mtp_devsecops.jpg","width":1920,"height":1080},{"@type":"BreadcrumbList","@id":"https:\/\/mtp.global\/es\/blog\/seguridad-informatica\/la-moda-del-devsecops\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/mtp.global\/es\/home\/"},{"@type":"ListItem","position":2,"name":"La moda del DevSecOps"}]},{"@type":"WebSite","@id":"https:\/\/mtp.global\/es\/#website","url":"https:\/\/mtp.global\/es\/","name":"MTP Global","description":"","publisher":{"@id":"https:\/\/mtp.global\/es\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/mtp.global\/es\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/mtp.global\/es\/#organization","name":"MTP Global","url":"https:\/\/mtp.global\/es\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/mtp.global\/es\/#\/schema\/logo\/image\/","url":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2024\/07\/MTP-global.png","contentUrl":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2024\/07\/MTP-global.png","width":1200,"height":400,"caption":"MTP Global"},"image":{"@id":"https:\/\/mtp.global\/es\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/mtp.global\/es\/#\/schema\/person\/1186350db6f59e8360dd481150654813","name":"MTP","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/mtp.global\/es\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/9f80fcebb065607a1066a38846083841707346cf76ca0c1df24aea7a0c5d4047?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/9f80fcebb065607a1066a38846083841707346cf76ca0c1df24aea7a0c5d4047?s=96&d=mm&r=g","caption":"MTP"},"url":"https:\/\/mtp.global\/es\/blog\/author\/marketing\/"}]}},"fimg_url":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2021\/09\/mtp_devsecops.jpg","_links":{"self":[{"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/posts\/26617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/comments?post=26617"}],"version-history":[{"count":0,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/posts\/26617\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/media\/26615"}],"wp:attachment":[{"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/media?parent=26617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/categories?post=26617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/tags?post=26617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}