De acuerdo con los líderes de DevOps como Marc Andreessen, socio general en Andreessen Horowitz, el software se está comiendo al mundo, puesto que la mayoría de las compañías se están convirtiendo en compañías de software, así como en proveedoras de sus bienes y servicios primarios para ser más competitivas.
“Yo creo que, en cinco a diez años, los procedimientos de DevOps serán masivos. Las personas verán a DevOps como la manera correcta de desarrollar software”, afirmó Tom Stiehm, CTO de Coveros. En ese respecto, dijo, DevOps se está comiendo al desarrollo de software.
Los procedimientos de codificación segura deberían, de igual manera, involucrar DevOps, sellando muchos de los huecos que los hackers criminales podrían de otra forma explotar.
“DevOps cambia el foco del desarrollo hacia la producción del mejor resultado posible para los clientes. Este nuevo foco incluye el entendimiento compartido de que la seguridad es esencial para establecer y mantener la confianza de los clientes”, dijo Otto Berkes, CTO de CA Technologies y el primer arquitecto de Xbox en Microsoft.
Gartner incluye “Security Testing for DevOps” en su Top 10 Technologies for Information Security del 2016. CSO revisa los problemas y la razón por la cual DevOps incrementará las prácticas seguras de codificación.
DevOps, el ambiente perfecto para codificación segura
DevOps es una buena oportunidad para hacer que la codificación segura sea la norma en el desarrollo de software, si es que la codificación segura engloba a DevOps como DevOps engloba al software. “Tener una mejor seguridad es un beneficio central de las metodologías de DevOps y es una de las razones por las que DevOps es un movimiento tan poderoso. Los clientes esperan tener una gran experiencia con el software, y eso tiene que incluir la seguridad como un ingrediente básico”, mencionó Berkes.
Para muchas empresas, las técnicas de automatización de DevOps han apresurado el desarrollo de software a un ritmo que de por sí ha llegado (se ha hecho posible) mucho antes de lo previsto. A Netflix ‐el gigante de la transmisión de video de entretenimiento que la literatura sobre DevOps utiliza regularmente como principal ejemplo‐ apenas le toma 16 minutos traducir Janitor Monkey, su servicio de resiliencia y mantenimiento de nube, de un check‐in de código a un despliegue multiregional completo, de acuerdo a una entrada de blog hecha por la compañía recientemente. “Netflix es el ejemplo preferido de la velocidad y agilidad de DevOps, habiendo sido la pionera en utilizar el enfoque orientado al desarrollo entre muchas industrias”, afirmó Mike Kail, cofundador de Cybric y CIO actual de Yahoo.
Las organizaciones TI de alto rendimiento ‐las que hacen uso de procedimientos y metodologías de desarrollo DevOps‐ despliegan software con una frecuencia 200 veces mayor que las de bajo rendimiento, de acuerdo al State of DevOps Report del 2016. Solo el volumen del desarrollo de software que DevOps hace posible, hace que sea razonable añadir procedimientos de codificación segura sin restarle velocidad a los despliegues. “El traslado hacia CI/CD como parte del proceso del desarrollo ágil impulsa la automatización en lo que solía ser un proceso manual, lo que añade una velocidad increíble. La integración de herramientas de seguridad en esa fuente de información ahora es mucho más fácil que hacer coordinaciones entre múltiples pasos manuales, requiriendo de múltiples ingenieros”, señaló Kail.
Debido a la falta extrema de ingenieros de seguridad cibernética, que la industria espera que continúe o quizás aumente, la automatización que es nativa de DevOps es crítica para incrementar y reforzar los procedimientos de codificación segura, si es que la industria va llevarla a cabo”, afirmó Kail.
DevOps revierte las objeciones a una codificación segura
Entre las objeciones para instituir procedimientos seguros de codificación se encuentran los desacuerdos respecto a la necesidad de hacerlo y a cómo aplicarlo, así como el costo añadido, la demora del desarrollo y la postergación de fechas de lanzamiento.
Cuando las empresas empiezan a implementar DevOps, éstas adquieren una visión más completa de lo que implica el desarrollo de software; después pueden preguntar dónde se encuentran los riesgos y cómo mitigarlos durante el desarrollo, en lugar de hacerlo más tarde, afirmó Josh Atwell, uno de los autores de DevOps for VMware Administrators.
Mientras la popularidad de DevOps va en aumento, sobrepasando la de otras metodologías de desarrollo debido a sus ventajas competitivas y de ahorro de costos, la industria debería aprovechar esta oportunidad, preparándose para informar y promover inmediatamente los mejores procedimientos de codificación segura dentro del pipeline de DevOps. DevOps y la implementación de un marco de trabajo funcional pueden permitir a los profesionales de la seguridad proporcionar funciones de seguridad específicas para aplicar en el código y durante las pruebas”, señaló Atwell.
DevOps, finalmente, genera ahorros y acelera el desarrollo a través de distintas eficiencias y de la automatización, multiplica el número de lanzamientos posible en el mismo periodo de tiempo y crea nuevas ganancias a través de ventajas competitivas.
“Haz que así sea, Número Uno”
Tom Stiehm, CTO de Coveros, sugirió métodos para conducir procedimientos de codificación seguros hacia lo profundo del corazón de DevOps, incluyendo:
* Añadir tantas configuraciones de seguridad, escaneo y análisis como sea posible a los pipelines de las compilaciones de software, así sea simplemente añadiendo unas cuantas herramientas de fuente abierta al pipeline o tomando pasos más complejos.
* Hacer que la recolección de datos y las pruebas automatizadas sean tan fáciles de usar por el equipo como sea posible, mientras asegura que el aprovechamiento de los resultados de las pruebas sea igual de sencillo.
* Trabajar con las herramientas de fuente abierta que realizan escaneo y análisis para mejorar las reglas y capacidades asociadas
* Dominar aquellas herramientas de seguridad en el pipeline de las compilaciones y ayudar a los equipos de producción de software a entender el valor de la mejora de la seguridad.
“Al emplear procesos de codificación seguros a lo largo del ciclo de vida de la producción de la aplicación, cambiar las pruebas automatizadas a una etapa más temprana del proceso e incrementar las oportunidades de encontrar y arreglar problemas de seguridad, todos se benefician”, afirmó Berkes.
Las probabilidades en prosa
Sigue siendo un misterio que solo el tiempo revelará si es que la industria está dispuesta a impulsar DevOps para inyectar codificación segura. “La mejora en la implementación de la codificación segura y los procedimientos de seguridad dentro del ciclo de vida del desarrollo de software, ciertamente tiene el potencial de ser adoptada más tempranamente en un ecosistema de DevOps”, afirmó Atwell. Aun así, al igual que con cualquier cambio tecnológico disruptivo, algunas empresas van a experimentar lecciones costosas en un principio, y muchas tendrán que encontrar su propio camino hacia la tranquilidad DevOps, debido a los requerimientos verticales de negocios en una industria especializada y las oportunidades de mercado que son únicas para cada organización.
-David Geer, CSO.com
