Este año, la encuesta anual de profesionales de DevSecOps de GitLab reveló varios problemas relacionados con la cultura organizacional que podrían estar impidiendo una alineación más profunda entre los equipos de ingeniería y seguridad. La mayoría (el 58 %) de los encuestados sobre seguridad dijeron que tienen dificultades para lograr que el departamento de desarrollo priorice la corrección de vulnerabilidades, y el 52 % afirmó que los trámites burocráticos a menudo ralentizan sus esfuerzos para solucionar rápidamente las vulnerabilidades. Además, los encuestados sobre seguridad señalaron varias frustraciones específicas relacionadas con sus trabajos, incluida la dificultad para comprender los hallazgos de seguridad, el exceso de falsos positivos y las pruebas que se realizan al final del proceso de desarrollo de software.
DevSecOps promete una mejor integración entre ingeniería y seguridad, pero está claro que persisten las frustraciones y los desajustes. Esto se debe a que estos desafíos son síntomas de un problema mayor en la forma en que las organizaciones ven la seguridad, así como la forma en que los equipos trabajan juntos y en cómo asignan el tiempo a la seguridad.
Escapar del círculo vicioso de la vulnerabilidad
El análisis de vulnerabilidades revela todas las vulnerabilidades potenciales; sin embargo, el hecho de que un paquete de software tenga una vulnerabilidad o exposición común (CVE) no significa que se pueda alcanzar o explotar. Tanto los equipos de seguridad como los desarrolladores siguen clasificando y filtrando los hallazgos de vulnerabilidades que han crecido exponencialmente a lo largo de los años desde que el análisis de vulnerabilidades autenticado se convirtió en la norma.
El paso al análisis autenticado ha mejorado la eficacia de los programas de seguridad en muchos aspectos, pero también ha metido a los desarrolladores en una rueda interminable de arreglar cosas que no importan. Cuando los equipos desperdician sus esfuerzos en parches que no abordan una vulnerabilidad explotable, se desvían de tareas más críticas, como implementar parches en fallas vulnerables y explotables. Ese es el origen de gran parte de la división entre los equipos de seguridad e ingeniería en la actualidad.
Entonces, ¿cómo pueden las organizaciones abordar la causa raíz de estos problemas y fomentar una mejor integración entre ingeniería y seguridad? Aquí hay tres formas de evitar frustraciones de seguridad comunes en el origen.
1. Silenciar el ruido, concentrarse en señales útiles de alta fidelidad
El exceso de falsos positivos fue la segunda frustración más señalada por los encuestados sobre seguridad en nuestra encuesta. Los falsos positivos son claramente un desafío, pero suelen ser un problema de gestión de vulnerabilidades disfrazado.
Si una organización ve muchos falsos positivos, podría ser una señal de que no han hecho todo lo posible para garantizar que sus hallazgos de seguridad sean de alta fidelidad. Las organizaciones deben centrar sus esfuerzos de seguridad en lo que importa. Eso significa que las soluciones tradicionales de pruebas estáticas de seguridad de las aplicaciones (SAST) probablemente son insuficientes. SAST es una herramienta poderosa, pero pierde gran parte de su valor si los resultados no se pueden manejar o carecen del contexto adecuado. Para que SAST sea lo más eficaz posible, debe utilizarse a la perfección con otras herramientas de seguridad y desarrollo y ser accesible para los desarrolladores.
Otro problema es que la mayoría de las herramientas de análisis tienen una ventana de contexto muy estrecha para comprender los hallazgos de vulnerabilidades. Esta es una de las áreas en las que la IA puede ayudar con funcionalidades con tecnología de IA que explican las vulnerabilidades de seguridad.
2. Minimizar la pila tecnológica y minimizar la superficie de ataque
La organización no solo debe centrarse en lo que importa para las pruebas de seguridad, sino en la propia manera en que crea el software.
Aunque la IA promete ayudar a simplificar los procesos de desarrollo de software, según nuestra encuesta, muchas organizaciones aún tienen un largo camino por delante. De hecho, las personas entrevistadas que usan IA se mostraron significativamente más propensas que aquellas que no usan IA a querer consolidar su cadena de herramientas, lo que indica que la proliferación de diferentes soluciones específicas que ejecutan diferentes modelos de IA podría estar aumentar la complejidad en lugar de reducirla.
La complejidad cada vez mayor de las pilas tecnológicas de las organizaciones es un factor importante que contribuye a las frustraciones de seguridad. Cierta complejidad es inevitable al crear grandes sistemas de software multifacéticos. Sin embargo, las organizaciones deben tomar medidas para evitar la complejidad que generan las decisiones de diseño poco óptimas, como el código difícil de mantener y las dependencias redundantes. Esta complejidad innecesaria crea una superficie de ataque más grande y genera más hallazgos de análisis de seguridad que los equipos deben clasificar, priorizar y resolver.
Las organizaciones deben abordar el desarrollo desde la perspectiva de la minimización del software, es decir, prestar especial atención a las herramientas que adoptan y lo que deciden incorporar a sus códigos base. Esto ayudará a minimizar las dependencias, mejorar la seguridad de la cadena de suministro de software, reducir el ruido del análisis y aliviar la carga de los desarrolladores para solucionar problemas no críticos.
3. Normalizar la adopción de un enfoque estructurado
Las pruebas de seguridad que se realizan demasiado tarde en el ciclo de desarrollo del software fueron otra de las principales frustraciones identificadas por los encuestados. Los equipos pueden sentirse frustrados cuando quieren enviar algo y se retrasa porque se detecta tarde una vulnerabilidad, pero en muchos casos no habría sido posible detectarla antes. Sin embargo, lo que sí es posible es poner en funcionamiento componentes de seguridad fácilmente desplegables y reutilizables para limitar las variables y las posibles vulnerabilidades
Los equipos pueden evitar sorpresas en las últimas etapas al adoptar patrones de diseño probados y garantizados basados en casos de uso repetibles: el enfoque «estructurado». Un enfoque estructurado es una ruta recomendada, que incluye un conjunto selecto de herramientas, procesos y componentes, que los equipos pueden seguir para crear aplicaciones seguras de manera más eficiente, por ejemplo, usar GitOps para versionar e implementar una infraestructura como código bien diseñada y probada que se implementa a escala para todas las cargas de trabajo.
La adopción de enfoques estructurados elimina potencialmente cierta flexibilidad, pero finalmente reduce la carga operativa y repetición del trabajo en los equipos de ingeniería, además, aumenta la seguridad. Este debe ser un esfuerzo de colaboración entre los equipos de seguridad y desarrollo. El equipo de seguridad puede ayudar a diseñar enfoques estructurados, pero el de ingeniería debe participar para operar y mantenerlos como parte del código base.
La seguridad es un dominio, no un equipo
Ya estamos viendo cómo la seguridad como práctica pasa a las manos de los equipos de ingeniería y podemos esperar que los límites entre los equipos continúen difuminándose. Sin embargo, con la rápida adopción de la IA y la correspondiente aceleración del desarrollo de software (el 66 % de las personas encuestadas afirmaron que lanzan software dos veces más rápido o incluso más que el año pasado), será fundamental que las organizaciones establezcan sistemas y marcos que optimicen para obtener el mayor beneficio de seguridad. Por eso, la idea de una desconexión cultural entre el equipo de desarrollo y seguridad no explica la situación entera. Es esencial fomentar una cultura de colaboración, pero los equipos de seguridad e ingeniería también deben trabajar juntos para replantearse aspectos fundamentales del desarrollo de software, como la optimización de los códigos base existentes y la creación de soluciones escalables centradas en la ingeniería que los equipos técnicos de toda la organización puedan adoptar sin problemas.
Seguridad de las aplicaciones en la era digital
Lea los resultados de la encuesta de más de 5000 profesionales de DevSecOps en todo el mundo para obtener información sobre cómo las organizaciones están lidiando con el aumento de las superficies de ataque y cambiando el comportamiento hacia la seguridad y la IA.
Leer el informe