![<\/a><\/div>\nLas pr\u00e1cticas tradicionales de seguridad de aplicaciones no son efectivas en el mundo moderno de DevOps. Cuando los an\u00e1lisis de seguridad se ejecutan solo al final del ciclo de vida de entrega del software (ya sea justo antes o despu\u00e9s de implementar un servicio), el proceso subsiguiente de compilaci\u00f3n y reparaci\u00f3n de vulnerabilidades genera una sobrecarga masiva para los desarrolladores. Los gastos generales que degradan la velocidad y ponen en riesgo los plazos de producci\u00f3n.<\/p>\nLa presi\u00f3n regulatoria para garantizar la integridad de todos los componentes del software tambi\u00e9n est\u00e1 aumentando dram\u00e1ticamente. Las aplicaciones se crean con un n\u00famero cada vez mayor de componentes de software de c\u00f3digo abierto (OSS) y otros artefactos de terceros, cada uno de los cuales puede introducir nuevas vulnerabilidades a la aplicaci\u00f3n. Los atacantes buscan explotar las vulnerabilidades de estos componentes, lo que tambi\u00e9n pone en riesgo a los consumidores del software.<\/p>\nEl software representa la mayor superficie de ataque no abordada a la que se enfrentan las organizaciones. Algunas estad\u00edsticas interesantes para digerir:<\/p>\n\nM\u00e1s del 80% de las vulnerabilidades del software se introducen a trav\u00e9s de software de c\u00f3digo abierto (OSS) y componentes de terceros.<\/li>\nLos ataques a la cadena de suministro digital son cada vez m\u00e1s agresivos, sofisticados y diversos. Para 2025, el 45% de las organizaciones habr\u00e1 experimentado al menos uno. (Garner)<\/li>\nEl coste total de los ciberataques a la cadena de suministro de software para las empresas superar\u00e1 los 80.600 millones de d\u00f3lares a nivel mundial en 2026, frente a los 45.800 millones de d\u00f3lares en 2023 (Juniper Research)<\/li>\n<\/ul>\nEl entorno de amenazas actual, junto con el deseo de entregar aplicaciones m\u00e1s r\u00e1pidamente, obliga a las organizaciones a integrar la seguridad en todo el ciclo de vida del desarrollo de software de manera que no degrade la productividad de los desarrolladores. Esta pr\u00e1ctica se conoce formalmente como DevSecOps.<\/p>\nOfrecer software seguro (el resultado de un programa DevSecOps eficaz) es una tarea enorme. Requiere cambios culturales significativos en m\u00faltiples funciones para impulsar la responsabilidad compartida, la colaboraci\u00f3n, la transparencia y la comunicaci\u00f3n efectiva. Tambi\u00e9n requiere el conjunto adecuado de herramientas, tecnolog\u00edas y el uso de automatizaci\u00f3n e inteligencia artificial para proteger las aplicaciones a la velocidad del desarrollo. Si se implementa correctamente, DevSecOps se convierte en un importante factor de \u00e9xito en la entrega de software seguro. <\/p>\nEntonces, \u00bfqu\u00e9 es DevSecOps?<\/strong><\/h2>\nDevSecOps, abreviatura de desarrollo, seguridad y operaciones, es un enfoque para el desarrollo de software que integra pr\u00e1cticas de seguridad a lo largo de todo el ciclo de vida del desarrollo de software. Enfatiza la colaboraci\u00f3n y la comunicaci\u00f3n entre los equipos de desarrollo, los equipos de seguridad y los equipos de operaciones para garantizar que la seguridad est\u00e9 integrada en cada etapa del proceso de desarrollo de software.<\/p>\nDentro del contexto de los procesos de desarrollo de software, DevSecOps tiene como objetivo “desplazar la seguridad hacia la izquierda”, lo que esencialmente significa lo antes posible en el proceso de desarrollo. Francamente, implica integrar pr\u00e1cticas y herramientas de seguridad en el proceso de desarrollo desde el principio. Al hacerlo, la seguridad se convierte en una parte integral del proceso de desarrollo de software en lugar de un complemento de \u00faltima etapa.<\/p>\nEste enfoque hace que sea mucho m\u00e1s f\u00e1cil para las organizaciones identificar y resolver vulnerabilidades de seguridad desde el principio y cumplir con las obligaciones regulatorias. Tambi\u00e9n es importante se\u00f1alar que DevSecOps se basa en una cultura de colaboraci\u00f3n y responsabilidad compartida. Rompe los silos y alienta a los equipos multifuncionales a trabajar juntos hacia el objetivo com\u00fan de crear aplicaciones m\u00e1s seguras a alta velocidad. <\/p>\nPrincipios rectores para la entrega de software seguro <\/strong><\/h2>\nEn un nivel alto, crear y ejecutar un programa DevSecOps eficaz significa que su organizaci\u00f3n puede operar una plataforma de entrega segura, probar vulnerabilidades de software, priorizar y remediar vulnerabilidades, evitar la publicaci\u00f3n de c\u00f3digo inseguro y garantizar la integridad del software y de todos. de sus artefactos. A continuaci\u00f3n se encuentran descripciones detalladas de los elementos y capacidades requeridas para lograr una pr\u00e1ctica exitosa de DevSecOps.<\/p>\nEstablecer una cultura colaborativa que haga de la seguridad una responsabilidad compartida<\/h3>\nEl \u00e9xito de cualquier pr\u00e1ctica de DevSecOps est\u00e1 realmente en manos de sus partes interesadas, por lo que antes de lanzarse a adquirir, configurar e implementar nuevas herramientas y tecnolog\u00edas,<\/p>\nSi su organizaci\u00f3n construye, vende o consume software (que hoy en d\u00eda es cualquier organizaci\u00f3n concebible en el planeta), entonces cada empleado tiene un impacto en la postura general de seguridad, no s\u00f3lo aquellos con “seguridad” en sus t\u00edtulos. En esencia, DevSecOps es una cultura de responsabilidad compartida, y operar con una mentalidad com\u00fan orientada a la seguridad determina qu\u00e9 tan bien encajan los procesos de DevSecOps y puede impulsar una mejor toma de decisiones al elegir plataformas, herramientas y soluciones de seguridad individuales de DevOps.<\/p>\nLas mentalidades no cambian de la noche a la ma\u00f1ana, pero la alineaci\u00f3n y un sentido de responsabilidad en materia de seguridad se pueden lograr a trav\u00e9s de lo siguiente: <\/p>\n\nCompromiso con una formaci\u00f3n peri\u00f3dica en seguridad interna, adaptada a DevSecOps, que incluya desarrolladores, ingenieros de DevOps e ingenieros de seguridad. No se deben subestimar las carencias y necesidades de capacidades. <\/li>\nAdopci\u00f3n por parte de los desarrolladores de metodolog\u00edas y recursos de codificaci\u00f3n segura <\/li>\nLa ingenier\u00eda de seguridad contribuye a la arquitectura de aplicaciones y entornos y revisiones de dise\u00f1o. Siempre es m\u00e1s f\u00e1cil identificar y solucionar problemas de seguridad en las primeras etapas del ciclo de vida del desarrollo de software. <\/li>\n<\/ul>\nRompa los silos funcionales y colabore continuamente<\/h3>\nDado que DevSecOps es el resultado de la confluencia del desarrollo de software, las operaciones de TI y la seguridad, romper los silos y colaborar activamente de forma continua es fundamental para el \u00e9xito. Por lo general, las organizaciones centradas en DevOps que operan sin ning\u00fan marco formal de DevSecOps ven la seguridad entrando en escena como un intruso no deseado. <\/p>\nLos cambios de proceso o las herramientas que se imponen repentinamente (a diferencia de los elegidos y creados en colaboraci\u00f3n) invariablemente resultan en fricciones en el proceso de desarrollo y en un trabajo innecesario para los desarrolladores. Un escenario com\u00fan implica que la seguridad exija controles de seguridad de aplicaciones adicionales sin tener en cuenta su ubicaci\u00f3n dentro del proceso o la carga de trabajo necesaria para procesar la salida del esc\u00e1ner y remediar las vulnerabilidades, lo que inevitablemente recae en los desarrolladores.<\/p>\n\nImpulsar la colaboraci\u00f3n y operar como un equipo DevSecOps cohesivo implica: <\/li>\nDefinir y acordar un conjunto de objetivos de seguridad mensurables, como el tiempo medio de remediaci\u00f3n y el porcentaje de reducci\u00f3n del ruido de alerta CVE. <\/li>\nImplicaci\u00f3n de desarrolladores de software y equipos de DevOps durante los procesos de evaluaci\u00f3n y adquisici\u00f3n de nuevas herramientas de seguridad. <\/li>\nGarantizar que ning\u00fan proceso DevSecOps tenga un \u00fanico guardi\u00e1n funcional <\/li>\nOptimizaci\u00f3n iterativa de opciones de herramientas y pr\u00e1cticas de seguridad para la productividad y velocidad de los desarrolladores.<\/li>\n<\/ul>\nDesplazar seguridad a la izquierda<\/h3>\nLa implementaci\u00f3n de la seguridad de desplazamiento a la izquierda es un paso crucial para proteger el c\u00f3digo de la aplicaci\u00f3n a medida que avanza por los procesos de desarrollo. Este enfoque implica integrar pr\u00e1cticas de seguridad en las primeras etapas del ciclo de vida del desarrollo de software, comenzando desde las etapas iniciales de codificaci\u00f3n y extendi\u00e9ndose a lo largo de todo el proceso de desarrollo e implementaci\u00f3n. Al desplazar las pruebas de seguridad m\u00e1s hacia la izquierda, las organizaciones pueden identificar y abordar las vulnerabilidades en una etapa temprana, reduciendo el riesgo de violaciones de seguridad y garantizando la entrega de aplicaciones seguras.<\/p>\nEl cambio exitoso de seguridad hacia la izquierda comienza con la integraci\u00f3n y orquestaci\u00f3n de diferentes tipos de esc\u00e1neres de seguridad a lo largo de los procesos de desarrollo. Existen varias categor\u00edas de pruebas de seguridad de aplicaciones que los equipos de DevSecOps deben adoptar y emplear para detectar y remediar vulnerabilidades durante todo el ciclo de vida del desarrollo de software. Las t\u00e9cnicas empleadas por cada tipo de esc\u00e1ner de seguridad son complementarias. Combinados, son muy eficaces para sacar a la luz problemas de seguridad conocidos antes de que una aplicaci\u00f3n entre en producci\u00f3n. <\/p>\nC\u00f3mo empezar <\/strong><\/h2>\nSi desea aprender los fundamentos de la entrega segura de software, qui\u00e9n deber\u00eda participar y, en \u00faltima instancia, c\u00f3mo lograr una pr\u00e1ctica DevSecOps altamente efectiva, debe descargar el Gu\u00eda definitiva para la entrega segura de software<\/a><\/em>. Proporcionaremos una descripci\u00f3n general de lo que se requiere desde la perspectiva de herramientas, tecnolog\u00edas y procesos para ofrecer software que sea m\u00e1s seguro y m\u00e1s r\u00e1pido. <\/p>\n<\/p>\n\u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/\u00bfQue-es-DevSecOps-y-por-que-es-esencial-para-la.png\"){kind=link}
Las pr\u00e1cticas tradicionales de seguridad de aplicaciones no son efectivas en el mundo moderno de DevOps. Cuando los an\u00e1lisis de seguridad se ejecutan solo al final del ciclo de vida de entrega del software (ya sea justo antes o despu\u00e9s de implementar un servicio), el proceso subsiguiente de compilaci\u00f3n y reparaci\u00f3n de vulnerabilidades genera una sobrecarga masiva para los desarrolladores. Los gastos generales que degradan la velocidad y ponen en riesgo los plazos de producci\u00f3n.<\/p>\n
La presi\u00f3n regulatoria para garantizar la integridad de todos los componentes del software tambi\u00e9n est\u00e1 aumentando dram\u00e1ticamente. Las aplicaciones se crean con un n\u00famero cada vez mayor de componentes de software de c\u00f3digo abierto (OSS) y otros artefactos de terceros, cada uno de los cuales puede introducir nuevas vulnerabilidades a la aplicaci\u00f3n. Los atacantes buscan explotar las vulnerabilidades de estos componentes, lo que tambi\u00e9n pone en riesgo a los consumidores del software.<\/p>\n
El software representa la mayor superficie de ataque no abordada a la que se enfrentan las organizaciones. Algunas estad\u00edsticas interesantes para digerir:<\/p>\n
- \n
- M\u00e1s del 80% de las vulnerabilidades del software se introducen a trav\u00e9s de software de c\u00f3digo abierto (OSS) y componentes de terceros.<\/li>\n
- Los ataques a la cadena de suministro digital son cada vez m\u00e1s agresivos, sofisticados y diversos. Para 2025, el 45% de las organizaciones habr\u00e1 experimentado al menos uno. (Garner)<\/li>\n
- El coste total de los ciberataques a la cadena de suministro de software para las empresas superar\u00e1 los 80.600 millones de d\u00f3lares a nivel mundial en 2026, frente a los 45.800 millones de d\u00f3lares en 2023 (Juniper Research)<\/li>\n<\/ul>\n
El entorno de amenazas actual, junto con el deseo de entregar aplicaciones m\u00e1s r\u00e1pidamente, obliga a las organizaciones a integrar la seguridad en todo el ciclo de vida del desarrollo de software de manera que no degrade la productividad de los desarrolladores. Esta pr\u00e1ctica se conoce formalmente como DevSecOps.<\/p>\n
Ofrecer software seguro (el resultado de un programa DevSecOps eficaz) es una tarea enorme. Requiere cambios culturales significativos en m\u00faltiples funciones para impulsar la responsabilidad compartida, la colaboraci\u00f3n, la transparencia y la comunicaci\u00f3n efectiva. Tambi\u00e9n requiere el conjunto adecuado de herramientas, tecnolog\u00edas y el uso de automatizaci\u00f3n e inteligencia artificial para proteger las aplicaciones a la velocidad del desarrollo. Si se implementa correctamente, DevSecOps se convierte en un importante factor de \u00e9xito en la entrega de software seguro. <\/p>\n
Entonces, \u00bfqu\u00e9 es DevSecOps?<\/strong><\/h2>\n
DevSecOps, abreviatura de desarrollo, seguridad y operaciones, es un enfoque para el desarrollo de software que integra pr\u00e1cticas de seguridad a lo largo de todo el ciclo de vida del desarrollo de software. Enfatiza la colaboraci\u00f3n y la comunicaci\u00f3n entre los equipos de desarrollo, los equipos de seguridad y los equipos de operaciones para garantizar que la seguridad est\u00e9 integrada en cada etapa del proceso de desarrollo de software.<\/p>\n
Dentro del contexto de los procesos de desarrollo de software, DevSecOps tiene como objetivo “desplazar la seguridad hacia la izquierda”, lo que esencialmente significa lo antes posible en el proceso de desarrollo. Francamente, implica integrar pr\u00e1cticas y herramientas de seguridad en el proceso de desarrollo desde el principio. Al hacerlo, la seguridad se convierte en una parte integral del proceso de desarrollo de software en lugar de un complemento de \u00faltima etapa.<\/p>\n
Este enfoque hace que sea mucho m\u00e1s f\u00e1cil para las organizaciones identificar y resolver vulnerabilidades de seguridad desde el principio y cumplir con las obligaciones regulatorias. Tambi\u00e9n es importante se\u00f1alar que DevSecOps se basa en una cultura de colaboraci\u00f3n y responsabilidad compartida. Rompe los silos y alienta a los equipos multifuncionales a trabajar juntos hacia el objetivo com\u00fan de crear aplicaciones m\u00e1s seguras a alta velocidad. <\/p>\n
Principios rectores para la entrega de software seguro <\/strong><\/h2>\n
En un nivel alto, crear y ejecutar un programa DevSecOps eficaz significa que su organizaci\u00f3n puede operar una plataforma de entrega segura, probar vulnerabilidades de software, priorizar y remediar vulnerabilidades, evitar la publicaci\u00f3n de c\u00f3digo inseguro y garantizar la integridad del software y de todos. de sus artefactos. A continuaci\u00f3n se encuentran descripciones detalladas de los elementos y capacidades requeridas para lograr una pr\u00e1ctica exitosa de DevSecOps.<\/p>\n
Establecer una cultura colaborativa que haga de la seguridad una responsabilidad compartida<\/h3>\n
El \u00e9xito de cualquier pr\u00e1ctica de DevSecOps est\u00e1 realmente en manos de sus partes interesadas, por lo que antes de lanzarse a adquirir, configurar e implementar nuevas herramientas y tecnolog\u00edas,<\/p>\n
Si su organizaci\u00f3n construye, vende o consume software (que hoy en d\u00eda es cualquier organizaci\u00f3n concebible en el planeta), entonces cada empleado tiene un impacto en la postura general de seguridad, no s\u00f3lo aquellos con “seguridad” en sus t\u00edtulos. En esencia, DevSecOps es una cultura de responsabilidad compartida, y operar con una mentalidad com\u00fan orientada a la seguridad determina qu\u00e9 tan bien encajan los procesos de DevSecOps y puede impulsar una mejor toma de decisiones al elegir plataformas, herramientas y soluciones de seguridad individuales de DevOps.<\/p>\n
Las mentalidades no cambian de la noche a la ma\u00f1ana, pero la alineaci\u00f3n y un sentido de responsabilidad en materia de seguridad se pueden lograr a trav\u00e9s de lo siguiente: <\/p>\n
- \n
- Compromiso con una formaci\u00f3n peri\u00f3dica en seguridad interna, adaptada a DevSecOps, que incluya desarrolladores, ingenieros de DevOps e ingenieros de seguridad. No se deben subestimar las carencias y necesidades de capacidades. <\/li>\n
- Adopci\u00f3n por parte de los desarrolladores de metodolog\u00edas y recursos de codificaci\u00f3n segura <\/li>\n
- La ingenier\u00eda de seguridad contribuye a la arquitectura de aplicaciones y entornos y revisiones de dise\u00f1o. Siempre es m\u00e1s f\u00e1cil identificar y solucionar problemas de seguridad en las primeras etapas del ciclo de vida del desarrollo de software. <\/li>\n<\/ul>\n
Rompa los silos funcionales y colabore continuamente<\/h3>\n
Dado que DevSecOps es el resultado de la confluencia del desarrollo de software, las operaciones de TI y la seguridad, romper los silos y colaborar activamente de forma continua es fundamental para el \u00e9xito. Por lo general, las organizaciones centradas en DevOps que operan sin ning\u00fan marco formal de DevSecOps ven la seguridad entrando en escena como un intruso no deseado. <\/p>\n
Los cambios de proceso o las herramientas que se imponen repentinamente (a diferencia de los elegidos y creados en colaboraci\u00f3n) invariablemente resultan en fricciones en el proceso de desarrollo y en un trabajo innecesario para los desarrolladores. Un escenario com\u00fan implica que la seguridad exija controles de seguridad de aplicaciones adicionales sin tener en cuenta su ubicaci\u00f3n dentro del proceso o la carga de trabajo necesaria para procesar la salida del esc\u00e1ner y remediar las vulnerabilidades, lo que inevitablemente recae en los desarrolladores.<\/p>\n
- \n
- Impulsar la colaboraci\u00f3n y operar como un equipo DevSecOps cohesivo implica: <\/li>\n
- Definir y acordar un conjunto de objetivos de seguridad mensurables, como el tiempo medio de remediaci\u00f3n y el porcentaje de reducci\u00f3n del ruido de alerta CVE. <\/li>\n
- Implicaci\u00f3n de desarrolladores de software y equipos de DevOps durante los procesos de evaluaci\u00f3n y adquisici\u00f3n de nuevas herramientas de seguridad. <\/li>\n
- Garantizar que ning\u00fan proceso DevSecOps tenga un \u00fanico guardi\u00e1n funcional <\/li>\n
- Optimizaci\u00f3n iterativa de opciones de herramientas y pr\u00e1cticas de seguridad para la productividad y velocidad de los desarrolladores.<\/li>\n<\/ul>\n
Desplazar seguridad a la izquierda<\/h3>\n
La implementaci\u00f3n de la seguridad de desplazamiento a la izquierda es un paso crucial para proteger el c\u00f3digo de la aplicaci\u00f3n a medida que avanza por los procesos de desarrollo. Este enfoque implica integrar pr\u00e1cticas de seguridad en las primeras etapas del ciclo de vida del desarrollo de software, comenzando desde las etapas iniciales de codificaci\u00f3n y extendi\u00e9ndose a lo largo de todo el proceso de desarrollo e implementaci\u00f3n. Al desplazar las pruebas de seguridad m\u00e1s hacia la izquierda, las organizaciones pueden identificar y abordar las vulnerabilidades en una etapa temprana, reduciendo el riesgo de violaciones de seguridad y garantizando la entrega de aplicaciones seguras.<\/p>\n
El cambio exitoso de seguridad hacia la izquierda comienza con la integraci\u00f3n y orquestaci\u00f3n de diferentes tipos de esc\u00e1neres de seguridad a lo largo de los procesos de desarrollo. Existen varias categor\u00edas de pruebas de seguridad de aplicaciones que los equipos de DevSecOps deben adoptar y emplear para detectar y remediar vulnerabilidades durante todo el ciclo de vida del desarrollo de software. Las t\u00e9cnicas empleadas por cada tipo de esc\u00e1ner de seguridad son complementarias. Combinados, son muy eficaces para sacar a la luz problemas de seguridad conocidos antes de que una aplicaci\u00f3n entre en producci\u00f3n. <\/p>\n
C\u00f3mo empezar <\/strong><\/h2>\n
Si desea aprender los fundamentos de la entrega segura de software, qui\u00e9n deber\u00eda participar y, en \u00faltima instancia, c\u00f3mo lograr una pr\u00e1ctica DevSecOps altamente efectiva, debe descargar el Gu\u00eda definitiva para la entrega segura de software<\/a><\/em>. Proporcionaremos una descripci\u00f3n general de lo que se requiere desde la perspectiva de herramientas, tecnolog\u00edas y procesos para ofrecer software que sea m\u00e1s seguro y m\u00e1s r\u00e1pido. <\/p>\n
<\/p>\n
\u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n