Claves para integrar la seguridad en las iniciativas DevOps

 

Recomendados:  WEBINAR >> Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Registro  WEBINAR >> Autenticación y gestión de identidades, el nuevo perímetro de seguridad Registro

Implantar con éxito una estrategia DevSecOps no es posible sin las tecnologías adecuadas para integrar la seguridad en todo el ciclo de vida del software. No obstante, no es lo único que se necesita, ya que conseguirlo implica transformar la cultura y los procesos.

Veracode, especialista en seguridad del software, ha reunido las premisas fundamentales para incluir la seguridad en cualquier iniciativa que persiga dotar de mayor seguridad a las operaciones corporativas.

Automatizar la seguridad
La capacidad de automatizar las pruebas de seguridad a través de secuencias de comandos, análisis estáticos y dinámicos, análisis de librerías de código abierto (“Software Composition Analysis” o SCA, en inglés) e integración de pruebas dentro de las herramientas y procesos existentes contribuye en gran medida a identificar fallos al inicio del ciclo de vida del código y a acelerar una entrega segura del mismo.

Detectar vulnerabilidades de forma temprana
DevSecOps parte de la premisa de que es aconsejable que los fallos se produzcan en el ordenador del desarrollador cuando está creando el software antes que en el dispositivo del cliente. La búsqueda temprana de vulnerabilidades en el código requiere el uso complementos en el entorno de desarrollo integrado (IDE) que brinden información instantánea y sirvan de guía según se detecten las brechas, cambiando la seguridad para responder pronto en el ciclo de vida del desarrollo.

No aceptar altas tasas de falsos positivos
Lograr el enfoque anterior requiere del uso de tecnología que pueda proporcionar resultados válidos a través de informes y dashboards, creando así visibilidad operativa para los equipos de desarrollo y de seguridad. Mantener los falsos positivos bajos permite que dichos equipos confíen en que las herramientas de seguridad empleadas no suponen un trabajo extra para ellos, eliminando la “fatiga de alerta” y mejorando la eficiencia y los tiempos de respuesta ante incidentes.

Emplear software de análisis de composición
Las herramientas de SCA pueden escanear aplicaciones completas y componentes de código abierto para garantizar que los equipos de desarrollo no incluyan involuntariamente código con vulnerabilidades conocidas. Además, el análisis de composición permite crear un inventario de los componentes que se están utilizando, por lo que es más fácil localizarlos y actualizarlos cuando se revela una vulnerabilidad.

En agosto de 2019, se descubrió una vulnerabilidad en el proxy web de Squid que permitía a los hackers enviar una solicitud diseñada al servidor de destino, lo que resultó en la ejecución del código en el contexto del proceso de Squid. Según los investigadores, una explotación exitosa podría haber dado como resultado que el atacante pudiera ejecutar código arbitrario con los privilegios del proceso del servidor, mientras que un ataque fallido podría haber provocado que el proceso del servidor terminara de manera anormal.

Tener en cuenta las necesidades de los desarrolladores
A veces nos olvidamos de que solo el equipo de desarrollo puede solucionar las brechas de seguridad. Sin embargo, muchos equipos de seguridad no tienen banda ancha para autorizar a los desarrolladores, por lo que no pueden reducir el riesgo o la deuda de seguridad con facilidad, igual que tampoco pueden minimizar la acumulación de fallos sin resolver que perduran en el tiempo. Los mejores programas AppSec permiten a los desarrolladores: realizar feedback de seguridad en el IDE en segundos; proporcionar recomendaciones sobre cómo solucionar fallos al mismo tiempo que los encuentran; dar asesoramiento automatizado; hacer revisiones del código con expertos en codificación segura; capacitar a los desarrolladores en seguridad; y crear programas de campeones de seguridad (security champions program, en inglés).