Portada » Guía DevSecOps: de principiante a experto

Guía DevSecOps: de principiante a experto

by Donal Sandro Noblejas Huaman

Hola mi nombre es donal Sandro Noblejas Huamán de Lima Perú 🇵🇪 hoy vengo con otro artículo de  Devops y como siempre y en cada uno de ellos completamente solo y me agrada porque se aprende, y como siempre sin empresas, personas, familiares, ni el estado ni ningún tipo de ayuda cuidado con los estafadores solo en mis tiempos libres redactando jejeje, bueno ahí vamos.


DevOps implica la automatización de los procesos de creación, configuración e implementación de software. Además, ayuda a mejorar el trabajo de los especialistas de TI con otros departamentos de la empresa: reduce el tiempo de comercialización al lanzar nuevos productos, reduce el tiempo para resolver incidentes y simplifica los lanzamientos.

Pero las cualidades positivas también tienen un inconveniente: a medida que se acelera el ciclo de desarrollo, aumenta el riesgo de que aumenten las vulnerabilidades reproducibles. Para minimizarlo, las empresas están recurriendo a prácticas de DevSecOps.

Ya hay mucho material sobre los conceptos básicos del enfoque DevOps  pero no se dice lo suficiente sobre los principios de la integración de prácticas de seguridad en el proceso de desarrollo continuo.

Analicemos qué habilidades recomiendan mejorar los expertos para iniciarse en el desarrollo seguro de aplicaciones, tanto para principiantes como para aquellos que ya tienen experiencia en análisis, administración y codificación de sistemas.

Cuando Sec llega a DevOps


DevSecOps y la nube tienen una fuerte conexión. La nube permite implementar aplicaciones rápidamente y obtener recursos rápidamente. Como parte del enfoque DevSecOps, puede desarrollar y utilizar herramientas para automatizar pruebas, análisis de vulnerabilidades y monitoreo de seguridad en el entorno de la nube. La metodología ayudará a garantizar la seguridad al trabajar con servicios en la nube.

Un aspecto importante de DevSecOps es que los especialistas en seguridad de la información están incluidos en el ciclo de desarrollo. Su trabajo es garantizar que los componentes y elementos de configuración de la pila de tecnología estén parcheados, configurados correctamente y tengan documentación actualizada.

No hay suficientes ingenieros de DevSecOps, hay demanda. En el mercado occidental, según Techstrong Group, el número de vacantes abiertas supera en cuatro veces el número de empleados competentes.

Los especialistas en DevSecOps no están capacitados en las universidades y puede resultar difícil profundizar en el tema por su cuenta. El entorno profesional es bastante dinámico y duro para los recién llegados. El conjunto de conocimientos y experiencia necesarios es comparable a las habilidades de un mando intermedio sólido.

No existe una lista fija de mejores prácticas, ya que cada empresa tiene su propio conjunto de estándares y pilas a partir de las cuales construir. Sin embargo, puede intentar identificar varias áreas generales de conocimiento.

SO


Un ingeniero de DevSecOps debe comprender el diseño del sistema operativo para resolver problemas de optimización y evitar posibles vulnerabilidades. En este sentido, los expertos recomiendan estudiar:

  • Sockets;
  • sistemas de archivos;
  • almacenes de datos;
  • virtualización.


Más adelante, todo esto será útil para interactuar con la nube y los servicios en la nube; un especialista en DevSecOps también necesita experiencia en esta área.

Dado el contexto de la nube, vale la pena elegir Linux como base. Además, el 67% de las vacantes incluyen este sistema operativo en la lista de requisitos. Es aproximadamente el doble de común que Windows. Sin embargo, no es necesario que un especialista ensamble el núcleo y es suficiente con un conocimiento general del sistema.

Cómo aprender

  • La gran mayoría de los administradores de sistemas tienen las habilidades necesarias. Para aquellos que no están familiarizados con el tema, Cómo funciona Linux es un buen punto de partida . Es una invitada frecuente de las colecciones de perfiles “Mejores libros sobre Linux” y se puede encontrar en el dominio público .
  • Realice cursos básicos de administración del sistema operativo Linux. En YouTube hay muchos entusiastas que graban vídeos temáticos, por ejemplo, dedicados a los comandos del terminal.
  • También podemos recomendar libros más avanzados: The Linux Programming Interface y Learning Modern Linux de O’Reilly. Contienen información detallada sobre todos los procesos que ocurren bajo el capó del sistema operativo (incluso en el contexto de la nube), con programas de ejemplo y ejercicios prácticos.

Lenguajes de programación


Los ingenieros de DevSecOps deben comprender el código que escribe el equipo de desarrollo. Los requisitos para la mayoría de las vacantes para este puesto especifican uno o varios lenguajes de programación. Si ingresa al campo de DevSecOps desde la administración de sistemas, entonces, obviamente, vale la pena familiarizarse con el lenguaje más utilizado dentro de la empresa: en el que se escriben los productos y servicios.

Si tiene la oportunidad de elegir un idioma para aprender, puede elegir Python o Go; estas son buenas opciones para principiantes. 

 
Aquellos que ya están familiarizados con cualquier lenguaje necesitan mejorar sus conocimientos de programación segura y estudiar enfoques y conceptos relevantes. En particular, el análisis de la composición del código de software (SCA, Software Composition Analysis) forma parte de la metodología DevSecOps. Le permite crear un mapa de dependencias y tener una idea de los posibles vectores de ataque. También vale la pena echar un vistazo más de cerca a las pruebas de seguridad de aplicaciones estáticas (SAST, Pruebas de seguridad de aplicaciones estáticas).

Cómo aprender

  • La comunidad en línea freeCodeCamp ha compilado una hoja de ruta para aprender JavaScript, HTML y CSS, pero con hitos para otros lenguajes.
  • Puedes empezar a familiarizarte con un nuevo idioma con literatura especializada. Los libros específicos dependerán del idioma utilizado. Por ejemplo, para Python, este podría ser el A Byte of Python gratuito , y Go.
  • Si hablamos de programación segura, entonces deberías prestar atención al blog Secure Code Warrior . Contiene materiales sobre seguridad de la información y mejores prácticas para escribir código.

Tecnologías en la nube


Una parte importante de las tecnologías que utilizan los especialistas de DevSecOps está relacionada con la nube. Por lo tanto, es importante comprender al menos la terminología y las técnicas básicas de la nube. Luego podrá pasar a estudiar los servicios de su proveedor de nube corporativo. La lista varía mucho: desde utilidades de red hasta herramientas para construir circuitos seguros.

Si hablamos de soluciones específicas, vale la pena prestar atención a Kubernetes. Este orquestador es una de las herramientas clave de CI/CD, ya que acelera seriamente la implementación de aplicaciones y le permite crear servicios que se escalan automáticamente a la carga requerida. 
Otras tecnologías requeridas incluyen GitHub y Jenkins. Si hablamos del campo de la infraestructura como código, entonces este es Terraform, con el que se puede automatizar el escalado de servicios a través de solicitudes API, y en el campo de la gestión de la configuración: Ansible, Chef y Puppet.

Cómo aprender

Finalmente, habilidades de comunicación.


DevSecOps requiere habilidades de comunicación que le ayudarán a establecer una buena relación con sus colegas. Lo más probable es que tengas que compartir tu visión públicamente con varios departamentos durante llamadas y reuniones. También tendrá que comunicarse sobre un tema tan delicado como la seguridad de la información: discutir los riesgos, errores y deficiencias relevantes.

Las habilidades de comunicación son vitales para justificar de manera competente la implementación de un enfoque o sistema de seguridad en particular.

Cómo aprender

  • A la lista anterior puede agregar fuentes como “Convencer y ganar”. El secreto de la argumentación eficaz”, así como “iPresentation. Lecciones de persuasión del líder de Apple, Steve Jobs.

TL;DR


Si tienes experiencia en el campo de la administración de sistemas, entonces para sumergirte en DevSecOps basta con repasar tu idioma y estudiar las herramientas para CI/CD .
Los desarrolladores deben prestar atención a las características de Linux y a la configuración de la infraestructura en la nube. Es importante que todos los especialistas trabajen las habilidades blandas. En general, esto es suficiente para calificar para el puesto de ingeniero de DevSecOps.

Será más difícil para aquellos que recién están comenzando su viaje en el campo DevSecOps. Tendrás que aprender todas las herramientas necesarias desde cero. En este caso, tiene sentido dominar una de las profesiones “de transición”: administrador de sistemas o desarrollador de Go condicional .

Autor Donal Sandro Noblejas Huamán

Lima Perú 🇵🇪 

Sitio web verlista.com/

facebook.com/verlistaa

https://pe.linkedin.com/in/donal-sandro-noblejas-huaman

You may also like

Leave a Comment

Are you sure want to unlock this post?
Unlock left : 0
Are you sure want to cancel subscription?
-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00