Es una creencia de larga data que la seguridad debe ser más prominente en el ciclo de vida del desarrollo. Sin embargo, inculcar esta creencia en la comunidad de desarrolladores ha resultado ser bastante desafiante. Se ha estado trabajando desde diferentes ángulos para lograr el objetivo del desarrollo seguro, pero todavía parece que nos queda camino por recorrer (aunque muchas organizaciones han hecho grandes avances hasta ahora y se pueden aprender lecciones, como ha demostrado nuestra investigación).
Se necesita una combinación de enfoques para realizar el desarrollo de aplicaciones seguras. La implementación de herramientas de seguridad para ayudar a evaluar el código de la aplicación cumplida, revisar las bibliotecas que se utilizan y realizar un análisis de vulnerabilidades regular se encuentran entre las opciones disponibles para las organizaciones. Al agregar los procesos correctos y las personas adecuadas, que también necesitan estar capacitados y operar en una cultura que apoye el pensamiento de “seguro por diseño y desarrollo”, las organizaciones pueden comenzar a ver los beneficios que el desarrollo de aplicaciones seguras puede traer a la empresa. negocio.
Se ha demostrado que el concepto de cambio a la izquierda es muy eficaz para apoyar esta ambición. Si piensa en el desarrollo de aplicaciones como una línea de tiempo, se trata de tomar las consideraciones de seguridad y desplazarlas hacia la izquierda hacia el comienzo de esa línea de tiempo para que se incorporen en la etapa más temprana posible. Esto se puede respaldar al incluir elementos de seguridad en los requisitos no funcionales de la aplicación, por ejemplo.
Si bien el desplazamiento a la izquierda es útil y puede mejorar la seguridad en el desarrollo de aplicaciones, esto no es suficiente cuando se considera el ciclo de vida completo de la aplicación. Aquí es donde entran en juego otros dos elementos, y son complementarios. Son shift right y DevOps, o más importante, DevSecOps. Cambiar a la derecha se trata de llevar la seguridad a la derecha de la línea de tiempo de desarrollo de la aplicación y, de manera similar, DevSecOps se trata de tener seguridad en todos los elementos del proceso de desarrollo.
“Una vez que haya dominado el cambio de izquierda a derecha, el siguiente paso lógico es automatizar los elementos de desarrollo y soporte. Esto es para asegurar que sucedan y para asegurar la consistencia”
Paul Holland, Foro de Seguridad de la Información
Los desarrolladores deben reconocer la importancia de su papel en el éxito de la aplicación después del desarrollo, incluida la importancia de mantener un entorno seguro para los consumidores. Tener desarrolladores involucrados en el soporte de las aplicaciones que escriben les ayuda a comprender la necesidad de calidad en su codificación y la gestión eficaz de los defectos.
Para las organizaciones que quieren ir un paso más allá para asegurar el desarrollo de sus aplicaciones, existe un “cambio en todas partes”. Una vez que haya dominado el cambio de izquierda a derecha, el siguiente paso lógico es automatizar los elementos de desarrollo y soporte. Esto es para asegurar que sucedan y para garantizar la consistencia.
Solo puede cambiar de lugar una vez que haya madurado sus actividades de desarrollo, y son los procesos más maduros los candidatos iniciales probables para la automatización. La automatización de sus procesos y herramientas establecidos toma la lógica del cambio y la incorpora en todo, de ahí el término cambio en todas partes.
Cambiar a todas partes proporciona múltiples beneficios, el principal es el de aplicaciones mejor desarrolladas que pueden ser respaldadas y actualizadas por un equipo de expertos. Esto también tiene la ventaja de brindarle al propietario del producto la confianza de que la aplicación se ha codificado con un alto nivel de calidad y seguridad, e incluso si hay problemas, los equipos involucrados pueden solucionarlos rápidamente. Los consumidores también se beneficiarán, ya que tendrán una mejor experiencia con una aplicación de mayor calidad y tendrán menos riesgo de que una aplicación insegura filtre sus datos.
Con DevSecOps, la idea es combinar los tres elementos centrales (desarrollo, seguridad y operaciones) en un equipo y un proceso cohesivo general, donde todo el equipo trabaja en el desarrollo, agrega los elementos de seguridad y luego asume el mantenimiento continuo del funcionamiento de esa aplicación. Este enfoque combinado funciona bien con el cambio en todas partes, así como hacia la izquierda y hacia la derecha, por lo que las organizaciones que también usan DevSecOps también pueden obtener mayores beneficios del cambio.
