Funciones de seguridad de las aplicaciones y DevSecOps
El objetivo de la seguridad de las aplicaciones y DevSecOps es integrar las garantías de seguridad en los procesos de desarrollo y en las aplicaciones de línea de negocio (LOB) personalizadas.
Modernización
El desarrollo de aplicaciones se reforma rápidamente en varios aspectos simultáneamente, incluido el modelo de equipo DevOps, la cadencia de publicación rápida de DevOps y la composición técnica de las aplicaciones a través de servicios en la nube y API. Vea cómo la nube está cambiando las relaciones de seguridad y las responsabilidades para comprender estos cambios.
Esta modernización de modelos de desarrollo anticuados presenta tanto una oportunidad como un requisito para modernizar la seguridad de las aplicaciones y los procesos de desarrollo. La fusión de la seguridad en los procesos de DevOps a menudo se denomina DevSecOps e impulsa cambios que incluyen:
- La seguridad está integrada, no la aprobación externa: el rápido ritmo de cambio en el desarrollo de las aplicaciones hace que los enfoques clásicos independientes de "examinar e informar" se queden obsoletos. Estos enfoques heredados no pueden mantenerse al día con las versiones sin paralizar el desarrollo y sin dar lugar a demoras en el tiempo de comercialización, infrautilización del desarrollador y crecimiento de la acumulación de problemas.
- Realice pruebas anticipadas para adoptar la seguridad antes en los procesos de desarrollo de las aplicaciones, ya que corregirlos con anticipación es más barato, rápido y eficaz. Si espera a que se el pastel se haya horneado, será más difícil cambiar su forma.
- Integración nativa: los procedimientos de seguridad se deben integrar sin problemas para evitar la fricción negativa en los flujos de trabajo de desarrollo y los procesos de integración continua e implementación continua (CI/CD). Para más información sobre el enfoque de GitHub, consulte Protección del software, juntos.
- Seguridad de alta calidad: la seguridad debe proporcionar hallazgos de alta calidad e instrucciones que permitan a los desarrolladores corregir problemas rápidamente y no pierdan tiempo con falsos positivos.
- Referencia cultural convergente: los roles de seguridad, desarrollo y operaciones deben contribuir con elementos clave en una referencia cultural compartida, valores compartidos y objetivos y responsabilidades compartidos.
- Seguridad ágil: cambie la seguridad de una estrategia del tipo "debe ser perfecto para enviar" a una ágil que empiece con una seguridad viable mínima para las aplicaciones (y para los procesos para desarrollarlas) y se vaya mejorando continuamente poco a poco.
- Adopte características de seguridad e infraestructura nativas de nube para optimizar los procesos de desarrollo integrando al mismo tiempo la seguridad.
- Administración de riesgos de la cadena de suministro: adopte un enfoque de confianza cero para el software de código abierto (OSS) y los componentes de terceros que valide la integridad y garantice que las correcciones de errores y las actualizaciones se aplican a estos componentes.
- Aprendizaje continuo: el ritmo de lanzamiento rápido de los servicios para desarrolladores, a veces denominados servicios de plataforma como servicio (PaaS), y el cambio de composición de aplicaciones significa que los miembros del equipo de desarrollo, operaciones y seguridad van a aprender constantemente sobre nuevas tecnologías.
- Enfoque mediante programación para la seguridad de la aplicación para garantizar que se produce una mejora continua del enfoque ágil.
Para más contexto, consulte Ciclo de vida de desarrollo seguro de Microsoft.
Composición del equipo y relaciones clave
Lo ideal es que la seguridad de las aplicaciones y las funciones DevSecOps las realicen desarrolladores y equipos de operaciones conscientes de la seguridad (con el apoyo de expertos en materia de seguridad).
Esta función suele interactuar con otras funciones y expertos, entre los que se incluyen:
- Arquitectura y operaciones de seguridad
- Seguridad de la infraestructura
- Comunicaciones (entrenamiento y herramientas)
- Seguridad de las personas
- Identidad y claves
- Equipos de administración de riesgos y cumplimiento
- Líderes empresariales clave o sus representantes
Pasos siguientes
Revise la función de seguridad de datos.