Cómo convertirse en un excelente ingeniero de DevSecOps
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
El mundo está empezando a dejar atrás Waterfall, Agile y ahora DevOps, entonces, ¿cuál es la próxima solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Al igual que la tecnología en sí, las herramientas, las técnicas y los procesos óptimos para desarrollar código evolucionan rápidamente. Los seres humanos tenemos una necesidad insaciable de más software, más funciones, más funcionalidades... y queremos que sea más rápido que nunca, más cualitativo y, además, seguro. Hace tan solo unos años, el desarrollo ágil fue el siguiente gran avance: ya que se utilizaba para dividir grandes cantidades de trabajo en partes más pequeñas y poder adaptarse rápidamente a los rápidos ciclos de comentarios de los clientes. Antes de eso, el método Waterfall era el más popular.
Si bien muchas personas y organizaciones están pasando de Waterfall a Agile (y no todo el mundo lo ha hecho todavía, seamos realistas), ya se están enfrentando a un nuevo problema: los equipos de desarrollo y sus homólogos de operaciones siguen trabajando de forma aislada. En este entorno, ¿cómo pueden los equipos pequeños que trabajan de forma ágil cumplir la promesa de una implementación y una entrega más rápidas?
DevOps, un apodo que es una combinación de desarrollo y operaciones, se creó para combinar las funciones de los equipos operativos y de los desarrolladores a la hora de crear software nuevo. Básicamente, se trataba de ayudar a los desarrolladores a asumir la responsabilidad de poner las cosas en producción, en lugar de echárselo por la borda al equipo de operaciones y hacer que fuera su responsabilidad.
No cabe duda de que pueden hacer envíos más rápido, incluso un par de veces al día, lo que parece funcionar en el callejón de la agilidad. Sin embargo, DevOps sigue creando un gran equipo mixto de ingenieros y personal de operaciones, que en realidad puede que no esté tan alineado con la metodología ágil. En última instancia, es mejor pensar en DevOps como una evolución de la metodología ágil, ya que las metodologías son similares en muchos aspectos y complementarias en sus diferencias. DevOps promueve un proceso de integración e implementación continuo y automatizado, algo esencial para permitir lanzamientos frecuentes, pero no lo suficiente a nivel de equipo, y aquí es donde entra en juego la metodología ágil. La metodología ágil permite a los equipos, especialmente a los equipos pequeños, mantenerse al día con estos lanzamientos rápidos y requisitos cambiantes, sin dejar de centrarse en las tareas y colaborar. No cabe duda de que parece ideal (y el proceso puede ayudar a los equipos a alcanzar el objetivo final), pero no está exento de problemas.
El software creado con las mejores prácticas de DevOps todavía tiene el potencial de tropezar con la primera pelea contra un jefe: el equipo de seguridad. Cuando los especialistas en AppSec tradicionales o en cascada examinan el código, ya sea con herramientas o con una revisión manual compleja, suelen encontrar riesgos y vulnerabilidades inaceptables que deben corregirse después de los hechos. El proceso de adaptar las correcciones de seguridad a las aplicaciones completas no es rápido ni sencillo... y resulta mucho más caro para la organización.
Entonces, si el mundo está dejando atrás Waterfall, Agile y ahora DevOps, ¿cuál es la solución? Y como desarrollador, ¿cuál es su función para mantenerse al día con estos cambios de enfoque?
Las técnicas de desarrollo están en un estado de evolución constante, pero afortunadamente, este no es un cambio tan grande. Las organizaciones solo tienen que poner el «Sec» en «DevOps»... y así nació DevSecOps. Uno de los objetivos principales de DevSecOps es derribar las barreras y abrir la colaboración entre los equipos de desarrollo, operaciones y, por último, pero no por ello menos importante, de seguridad. DevSecOps se ha convertido tanto en una táctica de ingeniería de software como en una cultura que aboga por la automatización y el monitoreo de la seguridad durante todo el ciclo de vida del desarrollo del software.
Esto puede parecer otro proceso a nivel de organización, tal vez uno en el que hay «demasiados cocineros» cuando se trata de un desarrollador con una larga lista de funciones que crear. Sin embargo, la metodología DevSecOps abre una oportunidad para que los desarrolladores preocupados por la seguridad brillen de verdad.
El brillante futuro de DevSecOps
Entonces, ¿por qué querría un programador convertirse en ingeniero de DevSecOps? Quizás tenga algo de experiencia con DevOps (o incluso con Agile) pero quiera dar el siguiente paso para dominar DevSecOps. En primer lugar, es bueno saber que se trata de una decisión muy inteligente, y no solo para proteger al mundo de los costosos ciberataques. Los expertos dicen que la demanda de El personal talentoso de ciberseguridad se está disparando sin un final a la vista. Aquellos que dominan DevSecOps pueden esperar una carrera larga y rentable.
La seguridad laboral de los ingenieros de DevSecOps está aún más asegurada, ya que, a diferencia de las tácticas de ciberseguridad tradicionales, como el escaneo de vulnerabilidades con una variedad de herramientas basadas en software, DevSecOps requiere personas que sepan cómo implementar la seguridad mientras codifican. Como señalaron los analistas de Booz, Allen y Hamilton en su blog titulado 5 mitos sobre la adopción de DevSecOps, las organizaciones quieren e incluso necesitan DevSecOps, pero simplemente no pueden comprarlo. DevSecOps es una metodología que permite a los equipos multifuncionales integrar tecnologías y colaborar durante todo el ciclo de vida del desarrollo de software, y que requiere personas capacitadas, una gestión del cambio y un compromiso continuo por parte de las múltiples partes interesadas.
Según Booz, Allen y Hamilton, las empresas pueden comprar aplicaciones y herramientas para ayudar con ciertos aspectos de DevSecOps, como el software de gestión de versiones, «pero en realidad son sus equipos de entrega los que lo hacen realidad». Son ellos los que impulsan la mejora continua que ofrece DevSecOps y su cambio cultural y de paradigma.
Las organizaciones no pueden «comprar» un programa DevSecOps viable; debe crearse y mantenerse, utilizando una variedad de herramientas, conocimientos internos y orientación que eleven la cultura de seguridad y, al mismo tiempo, tengan sentido desde el punto de vista empresarial. No es fácil, pero está lejos de ser imposible.
Cómo puedes dar una paliza en el movimiento DevSecOps
Uno de los primeros pasos para convertirse en ingeniero de DevSecOps es darse cuenta de que se trata tanto de una cultura como de un conjunto de técnicas. Para ello es necesario tener la voluntad de implementar la seguridad como parte de cada fragmento de código que se cree y el deseo de proteger de forma proactiva a la organización mediante la búsqueda activa de los fallos y vulnerabilidades de seguridad a medida que se programan y solucionarlos mucho antes de que pasen a la fase de producción. La mayoría de los ingenieros de DevSecOps se toman muy en serio su profesión y sus habilidades. La organización profesional DevSecOps incluso tiene un manifiesto declarando sus creencias.
El manifiesto es un poco torpe, ya que los manifiestos rara vez se leen a la ligera. Pero, en esencia, hay algunas verdades que todos los grandes ingenieros de DevSecOps deberían aprender a aceptar, como:
- Date cuenta de que el equipo de seguridad de las aplicaciones es tu aliado. En la mayoría de las organizaciones, los especialistas de AppSec están en desacuerdo con los desarrolladores, ya que siempre devuelven el código completo para seguir trabajando. A los equipos de AppSec tampoco les suelen gustar mucho los desarrolladores, ya que pueden retrasar la puesta en producción del código terminado debido a la introducción de errores de seguridad comunes. Sin embargo, un ingeniero de DevSecOps inteligente se dará cuenta de que los objetivos de los equipos de seguridad son, en última instancia, los mismos que los de los desarrolladores y programadores. No es necesario que sean mejores amigos, pero establecer una relación de trabajo tranquila y colaborativa es vital para el éxito.
- Practique y perfeccione sus técnicas de codificación segura. Si puede encontrar formas de que las aplicaciones sean vulnerables mientras aún se están creando, cerrar esas lagunas puede detener a los futuros piratas informáticos. Por supuesto, esto requiere tanto la comprensión de las vulnerabilidades como las herramientas para ayudar a solucionarlas. El Blog de Secure Code Warrior las páginas pueden ofrecer información sobre las vulnerabilidades más comunes y peligrosas con las que se encontrará, así como consejos prácticos y desafíos para poner a prueba sus conocimientos. El aspecto más importante es tener en cuenta la seguridad y dedicar tiempo a capacitaciones breves que te ayuden a desarrollar los conocimientos existentes. Es habitual que las interacciones de un desarrollador con la seguridad sean poco llamativas (incluso negativas), pero mejorar las competencias en seguridad es un gran paso profesional y no tiene por qué ser una tarea ardua.
- Recuerde: las superestrellas de DevSecOps contribuyen a una cultura de seguridad positiva en su organización. En lugar de centrarse en los objetivos del pasado, como la entrega rápida de aplicaciones independientemente de sus problemas inherentes, es importante dar máxima prioridad a la búsqueda y la reparación de las vulnerabilidades en el desarrollo del código. La seguridad debe considerarse una tarea de todos, y todos deben compartir el elogio y las recompensas que se obtienen al implementar aplicaciones eficaces y altamente seguras en todo momento.
Puedes ayudar a cultivar una increíble cultura de seguridad en tu organización defendiendo la codificación segura y las mejores prácticas de seguridad desde cero, recomendando soluciones de formación y asegurándote de que ningún programador se quede atrás en el vertiginoso y práctico mundo de DevSecOps. El único código bueno es el código seguro, y los desarrolladores expertos y conscientes de la seguridad son piezas fundamentales del rompecabezas. No cabe duda de que las recompensas personales y profesionales merecen la pena, y con miles de millones de registros de datos personales comprometidos cada año (y aumentando), te necesitamos. Ocupa tu lugar en primera línea y ayuda a defenderte de los malos en nuestro mundo digital.
Matias Madou, Ph.D. es el CTO y cofundador de Secure Code Warrior. Es un experto en seguridad, desarrollador desde hace mucho tiempo y adicto a Fortnite.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.