Topics Devsecops ¿Qué es la seguridad centrada en el desarrollador?

¿Qué es la seguridad centrada en el desarrollador?


DevSecOps es una metodología de desarrollo de software diseñada para integrar desarrollo, seguridad y operaciones en un solo equipo unificado. La seguridad de las aplicaciones ha sido durante mucho tiempo un aspecto secundario en el proceso de desarrollo de software, y parte de la visión central de DevSecOps consiste en duplicar la seguridad y ponerla más cerca del desarrollo que nunca. La seguridad centrada en el desarrollador es un concepto relativamente nuevo que podría representar el cambio de seguridad definitivo hacia la metodología de prueba shifth left: colocar las herramientas de seguridad en manos de un desarrollador para que gran parte del análisis de seguridad, prueba y corrección realmente ocurra dentro del entorno de desarrollo integrado (IDE) de un desarrollador.

Por qué es importante la seguridad de las aplicaciones

Una encuesta reciente de Forrester Research, titulada Breaches By The Numbers: Adapting To Regional Challenges Is Imperative, realizada el 12 de abril de 2022, reveló que el 63 % de las organizaciones sufrieron vulneraciones de la seguridad en el último año, un 4 % más que el año anterior. Y es importante reconocer que [el código se ha convertido en el objetivo principal](/blog/2020/10/14/why-security-ch Champions/){data-ga-name="security champions blog post" data-ga-location="body"}, en lugar de la infraestructura. Para agravar aún más las cosas, algunas estimaciones indican que cerca del 60 % de las aplicaciones están compuestas por código abierto, mientras que otras sitúan estas cifras en un rango de hasta el 80 % o 90 %. El código abierto es inherentemente más propenso a contener vulnerabilidades y código malicioso en comparación con el código generado desde cero. Sin embargo, es una elección comprensible para los desarrolladores ocupados que buscan entregar código de calidad con plazos cada vez más ajustados.

El enfoque tradicional sobre seguridad

Durante años, la seguridad era gestionada por una organización separada que solía intervenir luego de que el código había sido confirmado. Su tarea era identificar problemas de seguridad y exigir cambios a (quizás no sorprendentemente) desarrolladores reacios que ya habían empezado a trabajar en el siguiente proyecto. La seguridad no era una ocurrencia de último momento; era una experiencia impuesta desde arriba por individuos que se encontraban muy alejados de los desafíos del desarrollo. No resulta difícil comprender por qué este enfoque constituyó una fuente significativa de frustración para todos los involucrados.

Ingrese al mundo de DevSecOps

El objetivo de DevSecOps era profundizar en la eliminación de silos lograda con la implementación de DevOps. Ahora, desarrollo, operaciones y seguridad colaboran de manera integrada. Aún es pronto, pero nuestra Encuesta Global de DevSecOps de 2022 reveló signos prometedores: casi el 29 % de los profesionales de seguridad indicaron que ahora forman parte de un equipo de seguridad multifuncional, y el 57 % de los miembros del equipo de seguridad señalaron que sus organizaciones han desplazado la seguridad hacia la izquierda o planean hacerlo este año.

Persiste cierta fricción entre los desarrolladores y el equipo de seguridad, pero hay indicios de que las relaciones están mejorando. En 2022, disminuyó la cantidad de profesionales de seguridad que expresaron preocupaciones sobre la identificación tardía de vulnerabilidades en el ciclo de vida del desarrollo de software o sobre las dificultades para que los desarrolladores abordaran los riesgos de seguridad.Desde la perspectiva de los desarrolladores, más de la mitad afirma que son «totalmente responsable» de la seguridad en sus organizaciones, mientras que otro 39 % indicó sentirse responsables de la seguridad como parte de un equipo más amplio.

Seguridad centrada en el desarrollador (o en contexto)

Para romper lo que parece ser un ciclo muy vicioso, los expertos afirman que es momento de comenzar a pensar en una seguridad orientada a los desarrolladores o en contexto. En resumen, la seguridad centrada en el desarrollador le brinda al programador una herramienta de seguridad «amigable para los desarrolladores» que se integra en el IDE y les permite identificar y corregir problemas de seguridad de forma sencilla y sin complicaciones. Lo ideal es que estos controles de seguridad estén automatizados, de manera que un desarrollador ocupado no necesite preocuparse por los requisitos de seguridad al crear código seguro, ya que el proceso se integra de forma natural en el ciclo de desarrollo.

La clave para el éxito de la seguridad centrada en el desarrollador es un cambio en las perspectivas de ambas partes. Los profesionales de la seguridad deben recordar que los desarrolladores realizan muchas tareas (programación, pruebas, seguridad e incluso algunas funciones de operaciones). En consecuencia, es esencial que los profesionales de seguridad dediquen tiempo a comprender las responsabilidades que enfrentan los desarrolladores, e incluso consideren aprender a programar, para poder proporcionar la capacitación, el apoyo y la empatía necesarios. A su vez, los desarrolladores deben estar dispuestos a aceptar cambios en los procesos y motivados por la oportunidad de contribuir de manera significativa a la seguridad del código.Integrar la seguridad en el equipo de desarrollo, garantizar que los equipos cuenten con la combinación adecuada de habilidades y fomentar un ambiente de colaboración contribuirá en gran medida al éxito de un enfoque de seguridad centrado en el desarrollador.

DevSecOps con GitLab

Más información sobre DevSecOps

¿Todo listo para comenzar?

Descubra lo que su equipo puede hacer con una plataforma de DevSecOps unificada.