Las Vulnerabilidades de Código Abierto pueden representar un desafío para la relación entre DevOps y SecOps. Conozca cómo una visibilidad mejorada puede ayudar a prevenir y cerrar la brecha cultural entre ambos equipos.
Los ambientes laborales están evolucionando para acabar con los silos tradicionales y reemplazarlos con una colaboración cross-funcional, trabajando simultáneamente para entregar mejores resultados. Pero lograrlo no es tan fácil como suena.
Los equipos de seguridad y de desarrollo históricamente han trabajado en silos, lo cual ha creado una brecha ente ellos. Ambos equipos son responsables por diferentes aspectos del software de la empresa y, agregando una brecha de comunicación a las prioridades que están constantemente en competencia, existe una gran brecha de comunicación entre ellos que ha resultado en una división cultural. Esto se ve complicado por el incremento en la presión que enfrentan los dos equipos debido a la transformación digital. DevOps debe sacar productos con una velocidad cada vez mayor, mientras que SecOps enfrenta amenazas cada vez más complejas y una abundancia de alertas. ¿El resultado? Ambos están sobrecargados de trabajo.
Aunque los equipos de DevOps comprenden la importancia de proteger su trabajo, puede que esto sea tratado como algo secundario o la incluso la causa de un atraso para el que no tienen tiempo. Los flujos de trabajo de seguridad y la coordinación disminuyen entre más se avance en el pipeline de integración y entrega continua (CI/CD), haciendo que sea más difícil para los equipos de seguridad identificar los problemas. Esto es un tema muy importante para los equipos de SecOps, quienes son los “dueños” de los ciberriesgos, y se ve complicado por una falta de alineación en las herramientas en ambas partes.
Para combatir estos problemas, las necesidades de seguridad deben integrarse por diseño, no como algo secundario.
El Factor de Código del Open Source
El código abierto domina el código moderno de las aplicaciones. En particular, los componentes de código abierto de terceros pueden acelerar rápidamente el time-to-market y reducir los costos de desarrollo ya que eliminan la necesidad de escribir código desde cero. También, sin embargo, es una fuente creciente de riesgo dentro de las empresas. Mientras los desarrolladores expanden su uso de bibliotecas de código abierto para aprovechar la flexibilidad y la eficiencia que les brinda, esto también significa que se ha expandido la superficie de ataque. Sin embargo, a menudo los equipos de seguridad no tienen conocimiento de lo que sucede mientras los equipos DevOps rápidamente desarrollan y lanzan aplicaciones.
Ya que la mayoría de las aplicaciones se desarrollan con la ayuda de múltiples bibliotecas de código abierto, los inventarios de componentes complejos incrementan la opacidad y el riesgo. Las organizaciones enfrentan un riesgo significativo de seguridad con el incremento de 350% en el número de vulnerabilidades de código abierto en los últimos 3 años, de acuerdo con investigaciones realizadas por Snyk.
Ahora que el 80% del código de las aplicaciones actualmente se compone de código abierto, la visibilidad es un tema de gran importancia para los equipos de seguridad al momento de proteger una aplicación. Los equipos de seguridad requieren de una solución que no solamente les permita identificar vulnerabilidades, sino también comunicarlos con los equipos DevOps en un idioma común para poder arreglar problemas sin causar retrasos o fricción.
La Primera Solución de Seguridad de Código Abierto para Equipos de Seguridad
Trend Micro Cloud One – Open Source Security by Snyk es la primera y única solución que aborda el código abierto desde la “derecha” del pipeline CI/CD y que integra la protección lo más temprano posible en el proceso de desarrollo. Al potenciar el expertise único de Snyk en las vulnerabilidades de código abierto, así como sus investigaciones, los equipos de SecOps obtienen una visibilidad continua de los riesgos conocidos sin impactar de forma negativa a los equipos DevOps. Esto incluye comprender la complejidad de las dependencias y cómo se pudieron introducir las vulnerabilidades por medio de la exploración de información enriquecida curada, además de detalles específicos pero fáciles de entender sobre cada vulnerabilidad descubierta. Los insights sobre dependencias ocultas también pueden ayudar a las organizaciones a administrar mejor los riesgos de licenciamiento entre proyectos.
Al final, esto permite que los equipos de seguridad reporten con confianza a su CISO, mejoren la calidad de las salidas de las aplicaciones y mitiguen los desafíos presentados por las licencias. También cierra la brecha de comunicaciones entre DevOps y SecOps ayudando a crear un idioma común. Esto permite que SecOps sea parte de la conversación y ayude a los equipos DevOps a arregar las vulnerabilidades al nivel del código fuente sin fricciones. El resultado son dos equipos unidos, trabajando juntos para entregar un mejor producto.
Mejorar la calidad de la seguridad de un producto, algo que antes causaba atrasos en el tiempo de desarrollo, ahora puede hacer lo opuesto, y Trend Micro está orgulloso de haber dado el primer paso en cerrar esta “brecha cultural”.
Leave a Reply