Portada » ¿Cómo y por qué aprender las prácticas de DevSecOps en 2021?

¿Cómo y por qué aprender las prácticas de DevSecOps en 2021?

by Donal Sandro Noblejas Huaman

Hola me llamo Donal Sandro de Lima Perú 🇵🇪 hoy vengo con un artículo como siempre escribiendo y buscando la información solo . ahí vamos.
La popularidad de la metodología DevOps crece cada año y, con ella, crece la necesidad de seguridad a lo largo de todo el ciclo de vida del software. Le diremos qué conocimientos necesita para convertirse en un especialista solicitado en esta área.rápidamente, brindando velocidad, escalabilidad y funcionalidad a las aplicaciones, a menudo falta la capacidad de brindar una protección sólida.

DevSecOps se ha introducido en el ciclo de vida del desarrollo de software para reunir el desarrollo, las operaciones y la seguridad bajo un mismo techo.

¿Qué es DevSecOps?

Un ingeniero de DevSecOps automatiza la seguridad de la información en todas las etapas del ciclo de vida del desarrollo de software, desde el diseño inicial hasta la integración, prueba, implementación y entrega.

Un flujo de trabajo típico de DevOps y DevSecOps se ve así:

El desarrollador crea el código y lo aporta al sistema de gestión de control de versiones;
Otro desarrollador verifica el código desde el control de fuente y realiza un análisis estático en el código para identificar cualquier error de seguridad o calidad del código;
Luego, el entorno se crea utilizando una herramienta de infraestructura como código como Chef. La aplicación se implementa y la configuración de seguridad se aplica al sistema;
Luego, se realiza un conjunto de pruebas automatizadas para la aplicación recién implementada, incluido el back-end, la interfaz de usuario, la integración, las pruebas de seguridad y las API;
Si la aplicación pasa estas pruebas, se implementa en producción;
Este nuevo entorno de producción se supervisa constantemente para identificar cualquier amenaza de seguridad activa para el sistema.
Antes de DevOps, las auditorías de seguridad del producto se realizaban en el back-end del ciclo de vida del desarrollo de software. Dado que la atención se centró en el desarrollo, las revisiones de seguridad se consideraron menos importantes que los otros pasos.

Este enfoque funcionó siempre que las actualizaciones de software se publicaran solo una o dos veces al año. A medida que los desarrolladores comenzaron a adoptar Agile y DevOps, los ciclos de desarrollo de software se acortaron a semanas o incluso días, y el enfoque tradicional de seguridad se volvió irrelevante.

DevSecOps aborda los problemas de seguridad a medida que surgen, en una etapa en la que los errores son más fáciles, rápidos y económicos de corregir (antes de que el código entre en producción). Además, DevSecOps hace que la seguridad de las aplicaciones y la infraestructura sea la responsabilidad general de los equipos de desarrollo, seguridad y operaciones, en lugar de la responsabilidad exclusiva de los equipos dedicados.

Al garantizar que la seguridad esté presente en todas las etapas del ciclo de vida de la entrega de software, logramos una integración continua que reduce el costo de cumplir con los estándares de la industria y los requisitos reglamentarios, al tiempo que entrega y envía más rápido.

Conocimientos y habilidades para un profesional de DevSecOps

Una breve lista de habilidades requeridas:

habilidades de comunicación activa;
capacidad para trabajar con diferentes equipos y clientes;
responsabilidad;
diligencia;
capacidad de análisis;
pensamiento sistémico;
habilidad de autoaprendizaje;
la capacidad de transmitir información de forma sencilla .
Los ingenieros de DevSecOps también requieren conocimientos del enfoque de DevOps y una amplia gama de conocimientos técnicos. Igualmente importante es una comprensión clara de las amenazas a la seguridad cibernética y las tendencias de la industria.

Una breve lista de conocimientos necesarios:

Conocimiento de la cultura y los principios de DevOps;
Conocimiento de lenguajes de programación (por ejemplo, Python, Java, Go);
Conocimiento de modelos de amenazas y métodos de evaluación de riesgos;
Conocimiento de arquitecturas de seguridad, habilidades de ciberseguridad;
Conocimiento actualizado de las amenazas a la seguridad cibernética y las mejores prácticas modernas para combatirlas;
Fluidez en inglés técnico.
No hay texto alternativo para esta imagen

Calificaciones para comenzar como ingeniero de DevSecOps

Para conseguir un trabajo como ingeniero de DevSecOps, necesita cuatro cosas: educación, certificación, experiencia y cursos.

Educación
La mayoría de los trabajos de ciberseguridad requieren al menos una licenciatura, y DevSecOps no es una excepción. Un especialista debe tener un alto nivel de conocimientos y habilidades técnicas, por lo que los empleadores dan preferencia a los candidatos con títulos en un campo técnico (informática, ciberseguridad, ingeniería informática).

Certificación
Un diploma no es suficiente. Para no perder relevancia en el cambiante campo de las tecnologías de la información, tendrá que mejorar en la profesión . Además, es más probable que los empleadores den preferencia a los solicitantes de empleo con certificados.

Puede obtener la certificación en las siguientes plataformas:

Cisco ;
CompTIA ;
Microsoft ;
Hacker ético certificado (CEH);
Fundación DevSecOps ;
Líder de DevOps .
Una experiencia
Los ingenieros de DevSecOps no suelen pasar a este puesto de inmediato. Su autoestudio no garantiza un empleo instantáneo. Es mejor adquirir experiencia en TI en puestos relacionados con programación, administración de sistemas o ciberseguridad. Durante este período, podrá adquirir habilidades que serán útiles como ingeniero de DevSecOps.

Cursos

Si no está listo para esperar y está decidido a encontrar un trabajo después de la graduación, debe prestar atención a los cursos que garantizan el empleo inmediatamente después de la graduación.

Herramientas utilizadas para implementar el enfoque DevSecOps
Para trabajar con éxito con los equipos de DevOps, un ingeniero de DevSecOps debe tener un conocimiento profundo de los lenguajes de programación populares.

Un ingeniero de DevSecOps también puede utilizar las siguientes herramientas:

Codacy es una herramienta de análisis de código estático que lo ayuda a identificar y solucionar automáticamente problemas de seguridad, duplicación, violaciones de estilo y pérdida de cobertura en cada confirmación y solicitud de extracción directamente desde su flujo de trabajo de Git.


SonarQube es una herramienta de verificación de código automatizada para detectar errores y vulnerabilidades. Se integra con los procesos del equipo de desarrollo para proporcionar una revisión continua del código en todas las ramas del proyecto y solicitudes de extracción;


Acunetix : unescáner de seguridad de sitios web niversy que ayuda a los desarrolladores a encontrar vulnerabilidades en una etapa temprana;

GitLab es unaplataforma e -DevOps que ofrece una cadena de herramientas

CI / CD lista para usar en una sola aplicación. Apoya la colaboración entre los equipos de desarrollo, seguridad y operaciones, ayudándolos a acelerar la entrega y abordar las vulnerabilidades de seguridad sin ralentizar la canalización de CI / CD al reducir la complejidad de la cadena de herramientas;


Aqua Security eKohn tiempo garantizando la seguridad de los contenedores. Aqua Container Security Platform proporciona controles SDLC completos para proteger las aplicaciones en contenedores que se ejecutan en las instalaciones o en la nube, así como en Windows o Linux. La plataforma admite una variedad de entornos de orquestación.
Es importante que los ingenieros de DevSecOps estén más familiarizados con las herramientas populares de CI / CD:

Jenkins ;
GitLab CI / CD ;
CircleCI ;
puppet ;
Chef ;
Spinnaker .


Un candidato para un puesto de ingeniero de DevSecOps debería poder trabajar con Docker y Kubernetes , así como con proveedores de alojamiento en la nube como AWS , Google Cloud Platform y Microsoft Azure .

Responsabilidades y oportunidades profesionales de un especialista en DevSecOps

Los especialistas de DevSecOps a menudo necesitan presentar los resultados de las pruebas y los programas creados a otros especialistas. En última instancia, son responsables de proteger los activos digitales de la empresa mediante el seguimiento, la programación, las pruebas y el intercambio de datos.

Los ingenieros de DevSecOps pueden ser responsables de las siguientes responsabilidades en los ciclos de desarrollo de integración e implementación continua:

Monitoreo de procesos;
Análisis de riesgo;
Administracion de incidentes;
Prueba, selección e implementación de tecnologías, herramientas y métodos de trabajo;
Automatización del control de seguridad;
Mantenimiento de sistemas, así como de la red informática externa e interna de la empresa;
Control y gestión de operaciones de seguridad;
En términos más generales, los ingenieros de DevSecOps están involucrados en la creación de una cultura de seguridad dentro de la empresa, apoyando a varios equipos y clientes en la implementación de las mejores prácticas de seguridad.
Si su sueño es convertirse en un ingeniero de DevSecOps, comience su carrera como especialista en seguridad de la información y luego profundice en la metodología DevOps.

Recursos útiles para el autoaprendizaje

Agile sigue siendo la metodología de desarrollo de software más común, pero no se integra bien con las prácticas tradicionales de administración de seguridad. La mayoría de los profesionales de la seguridad no comprenden el desarrollo ágil. Para ayudar a cerrar la brecha entre los dos mundos, esta guía práctica presenta varias herramientas y técnicas de seguridad diseñadas específicamente para integrarse con el desarrollo ágil.

El libro presenta a los lectores los principios de seguridad para profesionales y los principios de Agile. Los autores también revelan los problemas que encontraron en su propia experiencia y cuentan los secretos de su solución.

DevOps seguro. Funcionamiento eficaz del sistema. Julien Vehen

Safe DevOps explora cómo DevOps y la seguridad deben aplicarse juntos. Examina las últimas prácticas utilizadas para proteger las aplicaciones web y su infraestructura, y cómo integrar la seguridad en los productos de software. Aprenderá sobre conceptos básicos de DevOps, como Integración continua (CI), Entrega continua (CD) e Infraestructura como servicio (IaaS).

Seguridad práctica en DevOps: garantice la seguridad, la implementación y la entrega continuas con DevSecOps. Tony hsu

En este libro, aprenderá cómo implementar la seguridad para aplicaciones web, infraestructura en la nube y capas de canalización de entrega. Explore los aspectos clave de la seguridad a través de ejemplos prácticos: bloqueo de ataques, detección de fraudes, análisis forense en la nube y respuesta a incidentes. Los capítulos finales tratan de la evaluación de riesgos, el modelado de amenazas y la seguridad de un extremo a otro.

Otros

También el uso de conceptos de DevSecOps: SSDL, SCA, NVD, DAST, SAST, RAS

Esto es principalmente una reducción de costos en la etapa de soporte del producto. Si excluye vulnerabilidades críticas ( CVE , CWE ) y errores incluso antes del lanzamiento en la etapa de desarrollo , entonces no necesitará lanzar parches (correcciones) o retirar completamente el producto del mercado.

Otra ventaja es el cumplimiento de los requisitos de cumplimiento: (por ejemplo, el Banco Central de los EEUU para instituciones financieras) como internacionales (Cloud Security Alliance (CSA), Cloud Native Computing Foundation (CNCF), PCI DSS, GDPR, etc. )). Esto permite someterse a auditorías de cumplimiento de los requisitos de las autoridades reguladoras, obtener las licencias y certificados adecuados para el tipo de actividad (especialmente críticos para bolsas, intercambiadores, sistemas banco-cliente) y confirmar su responsabilidad ante clientes y socios.

Y directamente, esta es la seguridad de la infraestructura interna del entorno de la nube, que periódicamente intenta piratear grupos de piratas informáticos, bots y competidores potencialmente deshonestos en el nicho dividido en el mercado. DevOps estándar por sí solo nunca resolverá estos problemas.

Esta es una etapa bastante larga y no la más fácil en la vida de una empresa. Dependiendo del nivel de madurez, la disponibilidad de competencias profesionales relevantes en el personal y el presupuesto de seguridad de la información, el número de etapas de implementación puede variar.

Además, debe comprender que la implementación de SDLC (Ciclo de desarrollo de software seguro) es parte del trabajo general de lanzamiento de DevSecOps en una empresa, y difieren en complejidad y duración. En su forma más simple, es siempre la definición de metas y objetivos, el establecimiento de requisitos para el producto y el proceso de su desarrollo (lo que se llama seguro por diseño), planificación del trabajo, implementación de protección de hardware y software, monitoreo y soporte

DevOps no se trata solo de equipos de DevOps. Si desea aprovechar al máximo la agilidad y la agilidad de un enfoque DevOps, la seguridad de TI también debe desempeñar un papel importante en el ciclo de vida general de las aplicaciones que desarrolla.

Según un informe de la firma de investigación Gartner , el 80% de las empresas que no adopten un enfoque moderno de seguridad para 2023 se enfrentarán tanto a mayores costos operativos como a un mayor impacto de los ciberataques.

En un mundo digital que cambia rápidamente, es imperativo que las empresas se adapten al creciente número de ciberataques que amenazan la seguridad de las aplicaciones todos los días

La demanda de ingenieros de DevSecOps y otros profesionales de la seguridad crece cada año debido al aumento en el número de delitos cibernéticos. Para obtener los conocimientos necesarios y convertirse en un especialista en seguridad de TI codiciado, debe prestar atención a la Ciberseguridad hay tres publicaciones antes expuestos que pueden ver incluído recursos y métodos de estudio.como dije antes puedes crear la mejor aplicación pero sin seguridad harás muy poco y con buenas bases crearás cosas interesantes profesional en Ciberseguridad en el Perú faltan demasiadosR no se podría medir a la ligera y DevOps igual saludos.

Los estaré esperando

Atentamente verlista.com

Autor Donal Sandro Noblejas Huaman

Lima Perú 🇦🇹

You may also like

Leave a Comment

Are you sure want to unlock this post?
Unlock left : 0
Are you sure want to cancel subscription?
-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00