Durante los últimos años, el término “DevOps” ha pasado de ser un término de “hype” y de venta de humo tecnológico a ser una realidad en cualquier empresa que desarrolle software de forma seria. Trata de la organización del ciclo de vida de desarrollo y explotación de productos o servicios basados en software, e intenta atajar de raiz los problemas derivados tanto de un desarrollo ágil y cambiante, como de una explotación de sistemas que tiene que ser sólida y segura. Ambos mundos nunca se han llevado bien, y “DevOps” como comento es un conjunto de técnicas y herramientas para intentar que se lleven mejor.
Pasado el “hype” de Devops, entramos ahora en el de SecDevOps
Pero últimamente se ha puesto de manifiesto una nueva dimensión del problema, que es la de la seguridad. Seguridad del código fuente, de los procesos de compilado y empaquetado, procesos de distribución y despliegue. Un aspecto que a día de hoy está siendo infravalorado en muchas organizaciones, pero que tiene importantes consecuencias en el mundo real.
Pasado el “hype” de Devops, entramos ahora en el de SecDevOps. Fabricantes de hardware de seguridad, grupos de gurús y desarrollos de herramientas privativas y de opensource aparecen de forma tímida para abordar los importantes retos que surgen en el mercado del desarrollo de software con relación a la seguridad del proceso.
Y es que en este mundo de startups, desarrollo ultra-ágil y entrega continua “extrema”, son muchísimas las organizaciones que sin saberlo están poniendo software en producción de manera poco segura, confiando en la seguridad perimetral tradicional. Queda todavía pendiente una importante tarea de envangelización del tema, ya que de forma habitual muchas empresas no quieren asumir el coste de incorporar técnicas de seguridad a su ciclo de desarrollo, simplemente porque no se visualiza como una mejora inmediata. Actualmente se vé más como un coste innecesario que como una inversión necesaria, y es una visión que en el corto plazo debe de cambiar de manera drástica.