Un nuevo paradigma: DevSecOps

“El futuro llegó hace rato…” arranca el tema “Todo un palo” de los Redondos. Pero en IT, desde mi punto de vista, el futuro va hacia la nube, ya sea pública o privada. Y, por ende, va hacia una nueva figura: el DevOps.

Una definición consensuada del término DevOps es que se trata de una práctica de ingeniería de software cuyo objetivo es unificar el desarrollo de software (development) y su operación (operations). El movimiento DevOps defiende enérgicamente la automatización y el monitoreo en todos los pasos de la construcción del software: la integración, las pruebas, la liberación, la implementación y la administración de la infraestructura. DevOps apunta a ciclos de desarrollo más cortos, mayor frecuencia de implementación, lanzamientos más confiables y en estrecha alineación con los objetivos comerciales. 

Con esta definición podemos ver que lo que conocíamos como el Sysadmin clásico va mutando hacia el DevOps, si no quiere quedarse fuera de este cambio de paradigmas. Y ante esta modificación, se suma un nuevo actor en el mundo de la informática: el DevSecOps.

DevOps + SecOps = DevSecOps es una nueva filosofía generada por la fusión de DevOps y SecOps que se basa en integración de la seguridad en los procesos de desarrollo de nuevas soluciones mediante el concepto de “Seguridad como código”. Los procesos de seguridad requieren que se resuelvan de forma preventiva garantizando la entrega rápida, efectiva y segura del código fuente. Y con esta nueva filosofía se definen sus componentes principales: Análisis de código, gestión de cambios, monitorización de cumplimiento, investigación de amenazas, análisis de vulnerabilidades, formación en seguridad.

Surgen entonces los administradores de la seguridad en DevSecOps, quienes se encargan, además, de la seguridad en la nube. Cabe recordar que desde que se empezó a popularizar la nube, no faltaron los exploits 0-day, que atacaron a kubernetes, dockers, y toda la nueva tecnología de la nube. Estos perfiles, expertos en seguridad, en ambientes de sistemas operativos, deben conocer de desarrollo, y, a la vez, interactuar para lograr microservicios, que ayuden a reducir la superficie de ataque. La idea que se tiene es que los microservicios tengan la menor exposición. 

Así, con la integración con los distintos eslabones, y trabajando con las herramientas de seguridad nativas de cada plataforma de cloud (como SELINUX), el DevSecOps, es una pieza fundamental en el nuevo paradigma que es la nube.

Todo parece muy complejo, y es un salto importante, pero a medida que se va avanzando, la curva de complejidad baja y es apasionante ver cómo este nuevo paradigma permite tener aplicaciones publicadas en sólo segundos y nos ayuda a reutilizar el trabajo. Haciendo un paralelismo, imaginemos que estamos haciendo un programa usando POO, donde instancio una nueva clase, tendríamos un nuevo objeto.

Marcelo Guazzardo
Administrador de Sistemas Operativos.