DevSecOps — ¿Qué y cómo?
Seguramente en algún momento han leído acerca de la seguridad y cómo se conecta con la estrategia y cultura DevOps. ¿Qué es fundamental entender para empezar? El DevSecOps (Development + Security + Operations) busca identificar vulnerabilidades estáticas (SAST) y dinámicas (DAST) de manera continua a través del ciclo de software; ahora resolvamos el cómo.
En Bancolombia incorporamos herramientas en la integración continua, con el propósito de aportar en la identificación de vulnerabilidades y prevenir despliegues en producción con un nivel de riesgo alto. Por ejemplo, tenemos herramientas como Sonar, Kiuwan, XRAY, PrismaCloud que se complementan, según el foco y naturaleza de la aplicación (lenguaje y plataforma); cuando entramos en detalle en cada una de las anteriores herramientas, vemos un enfoque diferente y esto hace que la estrategia de seguridad se complemente entre cada una de ellas.
No solo son herramientas, nos apoyamos también en aliados estratégicos de seguridad, los cuales tienen un foco en el código, aplicación e infraestructura, ¡hackers de verdad!
Lo anterior se resume en verificaciones automáticas integradas a los pipelines, garantizando el cumplimiento de los diferentes quality gates, políticas o gobierno definido, buscando desplegar software a producción con los menores niveles de riesgo posibles.
Suena sencillo, ¿no? Realmente es un proceso organizacional, cultural y estratégico, en el cual todos los involucrados deben creer, contribuir y aún más, en organizaciones sistemáticamente complejas.
Bueno, y ahora les pregunto, ¿es suficiente? Por supuesto que no, en términos de seguridad y más aún en una entidad financiera como Bancolombia, que sufre miles de ataques cibernéticos a diario, nunca será suficiente disponer de una única herramienta/aliado/estrategia en el desarrollo y transformación de nuestros sistemas.
Tener siempre un complemento será la clave, incluso, desarrollamos y generamos innersource por medio de artefactos, que completen cada una de las herramientas y estrategias anteriormente mencionadas (queremos ser cada vez más seguros).
¿Recuerdan el post en el que hablamos de: calidad de software en Bancolombia? Esta es una de las razones por las cuales dedicamos un post completo a seguridad ¿Sorprendidos? ¡Esperamos que sí!
