— Post invitado, escrito por Jesús Cuadro, Chief Product Officer de Xygeni
Segunda y última parte del post. Aquí tienes el acceso a la primera parte.
La incorporación de mejores prácticas de seguridad de la cadena de suministro de software y escaneos de seguridad automatizados a lo largo del ciclo de vida de desarrollo de software (SDLC) es crucial para que los equipos ágiles detecten y aborden rápidamente los problemas de seguridad.
Algunos enfoques que los equipos ágiles pueden usar para integrar las pruebas de seguridad en su proceso de desarrollo debe incluir:
La gestión de los puntos de control.
La gestión de los puntos de control a lo largo de su cadena de suministro de software es fundamental para lograr el cumplimiento normativo y garantizar la seguridad adecuada.
Las organizaciones deben implementar controles estándar, como la aprobación de identidad y acceso, la gestión de la configuración, las restricciones de acceso, la auditoría y las pruebas de seguridad para lograrlo. Las organizaciones deben establecer controles sobre quién puede realizar cambios en el código y las configuraciones, aprobar solicitudes de fusión y escanear aplicaciones en busca de vulnerabilidades.
Por un lado, nuestros sistemas de vigilancia deberán detectar cualquier actividad sospechosa o directamente maliciosa de los usuarios del equipo, o cualquiera que haya podido robar sus credenciales. Además, durante una auditoría, el equipo debe tener visibilidad de quién cambió qué, dónde y cuándo, y quién lo revisó, aprobó y fusionó a lo largo de todo el ciclo de vida del desarrollo de software.
Inventario de todas las herramientas, procesos y puntos de acceso.
Realice un inventario de todas las herramientas, procesos y puntos de acceso que utiliza su equipo de desarrollo, incluidas las plantillas de infraestructura como código (IaC), workflows de CI/CD, repositorios de código, canalizaciones y herramientas de compilación.
Este paso es fundamental porque solo se puede asegurar lo que se conoce. Una vez que tenga una lista completa de herramientas, procesos y automatizaciones, es hora de evaluar sus controles de acceso.
Por ejemplo, considere quién tiene acceso para cambiar las plantillas de IaC, ya que estas plantillas pueden ser una superficie de ataque potencial. Además, escanee los contenedores en busca de fallas de seguridad y supervise las API y los orquestadores para detectar comportamientos inusuales o cambios que no deberían estar permitidos que modifiquen como construye su software. Estándares como el Instituto Nacional de Estándares (NIST) y SLSA de Google cuya primera release oficial se ha liberado hace pocas semanas, ayudan a obtener ideas sobre cómo proteger su cadena de suministro de software.
Pruebas de seguridad en cada sprint.
Los equipos ágiles pueden incorporar pruebas de seguridad en sus ciclo de desarrollo ejecutando pruebas de seguridad periódicas en cada sprint.
Esto puede incluir pruebas manuales, pruebas automatizadas y revisiones de código. Al realizar pruebas de seguridad en cada sprint, los equipos pueden identificar y abordar posibles problemas de seguridad al principio del proceso de desarrollo, lo que reduce el riesgo de que se introduzcan vulnerabilidades y código malicioso en el software.
Escaneos de seguridad automatizados.
Sería recomendable que los equipos ágiles usaran herramientas de escaneo de seguridad automatizados para identificar problemas de seguridad en el código base, herramientas y resto de artefactos del ecosistema DevOps.
Herramientas como Xygeni escanean repositorios de códigos en busca de secretos y malware, detectan vulnerabilidades en bibliotecas de código abierto, identificar configuraciones incorrectas en la infraestructura e identifican anomalias en el comportamiento de los usuarios y los procesos de la organización. Mediante el uso de escaneos de seguridad automatizados, los equipos identifican, priorizan y resuelven rápidamente y con muy poco esfuerzo adicional los problemas de seguridad detectados.
Implemente la integración e implementación continuas (CI/CD).
Los equipos ágiles pueden aprovechar las canalizaciones de CI/CD para automatizar el proceso de creación, prueba e implementación.
Al integrar las pruebas de seguridad y los escaneos de las herramientas automatizadas en en pipeline de CI/CD, los equipos pueden asegurarse de que cada cambio de código se pruebe en busca de vulnerabilidades y brechas de seguridad. Esta cobertura incluye desde código estático en busca de malware, hasta detección de problemas de dependencias, identificación de componentes maliciosos y cualquier otro error de configuración en las herramientas o infraestructura.
Automatizar la generación de una lista de materiales de software (SBOM).
Lo que implica crear una lista de todos los componentes en una base de código.
La automatización de este proceso elimina la necesidad de comprobaciones manuales que consumen mucho tiempo para asegurarse de que no haya software malicioso en su código. La generación automatizada de SBOM brinda visibilidad de las dependencias en las estructuras temporales, incluidos los administradores de paquetes y los contenedores. Los desarrolladores pueden abordar visualmente las actividades de remediación al mostrar las vulnerabilidades de SBOM en la interfaz de usuario.
Para que los SBOM sean más fáciles de usar y accesibles, es crucial minimizar la cantidad de herramientas necesarias para revisarlos y procesarlos. La incorporación de SBOM en una plataforma segura extremo a extremo brinda protección contra varios ataques, incluidos los que tienen como objetivo el código interno, las fuentes externas y el proceso de compilación y despliegue.
Conclusión
Las organizaciones pueden y deben crear una cadena de suministro de software ágil y segura combinando metodologías ágiles con medidas de seguridad. Este enfoque permite a las empresas responder rápidamente a los requisitos cambiantes al tiempo que garantiza que los riesgos de seguridad se identifiquen y aborden de manera temprana.
En una cadena de suministro ágil y segura, la seguridad no es una idea de último momento. Aún así, herramientas como Xygeni ayudan a que esté integrado en cada etapa del proceso de desarrollo de software, entregando software incorrupto, seguro, alta calidad a tiempo mientras protege contra amenazas cibernéticas y violaciones de datos.
Es vital integrar la seguridad en cada etapa del proceso de desarrollo de software y promover la colaboración y la comunicación entre los miembros del equipo. Al hacerlo, las empresas pueden mantenerse a la vanguardia y en una posición ventajosa con un esfuerzo mínimo y muy rentable.
Primera vez que me tocó hacer una gestión Ágil en una empresa... año 2001. Desde entonces he trabajado en, o para, más de 90. Y he formado a más de 2000 alumnos.
También soy profe de la Universidad Rey Juan Carlos.
- Más allá del Management 3.0: 12 prácticas (de muchas) que no están en M 3.0 - 25 enero, 2024
- Más allá del Management 3.0: Otros muchos patrones para equipos Ágiles - 18 enero, 2024
- Años 30, Ohio (EE.UU.) y el Agile Product Management - 11 enero, 2024