Temas técnicos

¿Qué es DevSecOps?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

DevSecOps permite integrar las pruebas de seguridad en una fase más temprana del ciclo de vida de desarrollo del software, en lugar de al final, cuando los hallazgos de vulnerabilidades que requieren mitigación son más difíciles y costosos de aplicar.

DevSecOps es una extensión de DevOps, y a veces se denomina DevOps seguro. Aunque DevOps puede tener distintos significados para distintas personas u organizaciones, implica cambios tanto culturales como técnicos. Idealmente, la seguridad es un requisito implícito para el éxito de DevOps.

DevSecOps requiere planificar la seguridad de las aplicaciones y la infraestructura desde el principio. Las herramientas adecuadas pueden ayudar a cumplir el objetivo de una seguridad continuamente integrada, incluidas decisiones como la selección de un entorno de desarrollo integrado (IDE) con funciones de seguridad. Las herramientas y el proceso también deben ser capaces de automatizar algunas puertas de seguridad para no ralentizar el flujo de trabajo de DevOps.

DevSecOps

Ventajas de DevSecOps

Los desarrolladores no siempre codifican pensando en la seguridad. Con una mentalidad DevSecOps, los desarrolladores pueden mejorar la automatización en todo el proceso de entrega de software y aplicaciones para eliminar los errores de codificación y, en última instancia, reducir las infracciones.

Los equipos que apliquen herramientas y procesos DevSecOps para integrar la seguridad en su marco DevOps podrán publicar software seguro con mayor rapidez. Los desarrolladores pueden probar la seguridad del código y detectar fallos de seguridad a medida que se escribe el código. Los análisis automatizados pueden iniciarse como parte de las comprobaciones de código, las compilaciones, las versiones u otros componentes de la canalización CI/CD. Al integrarse con las herramientas que ya utilizan los desarrolladores, los equipos de desarrollo pueden mejorar más fácilmente el aspecto de seguridad del desarrollo de aplicaciones web.

¿Cuáles son los componentes clave de DevSecOps?

Los enfoques DevSecOps pueden incluir estos importantes componentes:

Inventario de aplicaciones/API

Automatice el descubrimiento, la creación de perfiles y la supervisión continua del código en toda la cartera. Esto puede incluir código de producción en centros de datos, entornos virtuales, nubes privadas, nubes públicas, contenedores, sin servidor, etc. Utilice una combinación de herramientas automatizadas de descubrimiento y autoinventario. Las herramientas de descubrimiento le ayudan a identificar qué aplicaciones y API tiene. Las herramientas de autoinforme permiten a sus aplicaciones inventariarse e informar de sus metadatos a una base de datos central.

Seguridad del código personalizado

Supervise continuamente el software en busca de vulnerabilidades durante el desarrollo, las pruebas y las operaciones. Entregue código con frecuencia para que las vulnerabilidades puedan identificarse rápidamente con cada actualización de código.
Las pruebas estáticas de seguridad de las aplicaciones (SAST) escanean los archivos fuente de la aplicación, identifican con precisión la causa raíz y ayudan a corregir los fallos de seguridad subyacentes.
Las pruebas dinámicas de seguridad de aplicaciones (DAST) simulan ataques controlados a una aplicación o servicio web en ejecución para identificar vulnerabilidades explotables en un entorno en funcionamiento.
Interactive Application Security Testing (IAST) proporciona un escaneo profundo instrumentando la aplicación mediante agentes y sensores para analizar continuamente la aplicación, su infraestructura, dependencias, flujo de datos, así como todo el código.

Seguridad de código abierto

El software de código abierto (OSS) suele incluir vulnerabilidades de seguridad, por lo que un enfoque de seguridad completo incluye una solución que rastrea las bibliotecas de OSS e informa de las vulnerabilidades y las infracciones de licencia.
El análisis de la composición del software (SCA) automatiza la visibilidad del software de código abierto (OSS) con fines de gestión de riesgos, seguridad y cumplimiento de licencias.

Prevención en tiempo de ejecución

Proteger las aplicaciones en producción: es posible que se descubran nuevas vulnerabilidades o que las aplicaciones heredadas no estén en desarrollo.
El registro puede informarle sobre qué tipos de vectores de ataque y sistemas están siendo atacados. La inteligencia sobre amenazas sirve de base a los procesos de modelado de amenazas y arquitectura de seguridad.

Control del cumplimiento

Permitir la preparación para auditorías y un estado constante de cumplimiento de GDPR, CCPA, PCI, etc.

Factores culturales

Identificar campeones de seguridad, establecer formación en seguridad para desarrolladores, etc.

Hacer que DevSecOps trabaje para usted

Paso 1: Integrar la seguridad en los requisitos del software
Paso 2: Realizar pruebas tempranas, frecuentes y rápidas
Paso 3: Aprovechar las integraciones para hacer de la seguridad de las aplicaciones una parte natural del ciclo de vida
Paso 4: Automatizar la seguridad como parte de los procesos de desarrollo y prueba
Paso 5: Supervisar y proteger una vez lanzada la aplicación.

Fortify ayuda a integrar la seguridad en DevOps

Plataforma de seguridad de aplicaciones integral, inclusiva y ampliable para orquestar y guiar su viaje AppSec.
Integre la seguridad en el desarrollo y la implantación de aplicaciones con el ecosistema de integración Fortify .
DevSecOps con Fortify permite mejorar la automatización de las pruebas en todo el proceso CI/CD para detectar errores de codificación.
El análisis de código estático automatizado ayuda a los desarrolladores a eliminar vulnerabilidades y crear software seguro con Static Code Analyzer.
Las pruebas de seguridad de aplicaciones dinámicas de WebInspect analizan las aplicaciones en su estado de ejecución y simulan ataques contra una aplicación para encontrar vulnerabilidades.
Tome el control total del cumplimiento de la seguridad de su código abierto y de la salud de su comunidad con Debricked y Fortify.
Obtenga claridad en toda la empresa agregando, analizando e informando sobre los resultados de las evaluaciones en un único panel de vidrio, independientemente de su origen, con Fortify Insight.

Soluciones AppSec líderes del sector

Plataforma de seguridad de aplicaciones holística, inclusiva y ampliable para orquestar y guiar su viaje AppSec con la plataforma Fortify .
Seguridad como servicio con Fortify on Demand de OpenText™.
La mejor forma de medir el éxito de un producto es a través de los clientes. Gartner Peer Insights, G2s, Fortify historias de éxito de clientes.
Líder acreditado en el Cuadrante Mágico de Gartner para pruebas de seguridad de aplicaciones.

Recursos

¿Qué es la ciberseguridad?

DestacadosDestacados

Analytics CloudAnalytics Cloud

Base de datos analíticaBase de datos analítica

Análisis de datos no estructuradosAnálisis de datos no estructurados

Inteligencia de negocio e informesInteligencia de negocio e informes

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Búsqueda empresarialBúsqueda empresarial

Aviator Search

Business Network CloudBusiness Network Cloud

Integración de la cadena de suministroIntegración de la cadena de suministro

Servicios de integración B2BServicios de integración B2B

Colaboración en el ecosistemaColaboración en el ecosistema

Business Network Aviator

Content CloudContent Cloud

Gestión de documentosGestión de documentos

Gestión de contenidos AIGestión de contenidos AI

Integraciones empresarialesIntegraciones empresariales

Captura y procesamiento inteligente de documentosCaptura y procesamiento inteligente de documentos

Information ArchivingInformation Archiving

Automatización de procesosAutomatización de procesos

Gobernanza de la informaciónGobernanza de la información

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Seguridad de las aplicacionesSeguridad de las aplicaciones

Identity and Access ManagementIdentity and Access Management

Protección de datosProtección de datos

Investigaciones y análisis forenses digitalesInvestigaciones y análisis forenses digitales

Inteligencia sobre amenazasInteligencia sobre amenazas

Detección de amenazas y respuestaDetección de amenazas y respuesta

Cybersecurity Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud documentación técnicaDeveloper Cloud documentación técnica

Aviator Thrust

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM y Gestión Estratégica PortfolioPPM y Gestión Estratégica Portfolio

Gestión de la calidadGestión de la calidad

Pruebas funcionalesPruebas funcionales

Ingeniería de rendimientoIngeniería de rendimiento

DevOps Aviator

Experience CloudExperience Cloud

Experiencias web y de marcaExperiencias web y de marca

MensajeríaMensajería

Recorrido del cliente y datosRecorrido del cliente y datos

Media ManagementMedia Management

Análisis de Contact CenterAnálisis de Contact Center

Experience Aviator

IT Operations CloudIT Operations Cloud

Gestión de serviciosGestión de servicios

FinOpsFinOps

AIOps y observabilidadAIOps y observabilidad

AutomatizaciónAutomatización

Gestión de redesGestión de redes

IT Operations Aviator

PortfolioPortfolio

Protección de datos y copia de seguridad de terminalesProtección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvilGestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipoTrabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datosArchivado, eDiscovery y seguridad de los datos

La información reimaginadaLa información reimaginada

Inteligencia artificialInteligencia artificial

IndustriaIndustria

Aplicaciones empresarialesAplicaciones empresariales

Su viaje hacia el éxitoSu viaje hacia el éxito

Atención al clienteAtención al cliente

Servicios de éxito del clienteServicios de éxito del cliente

Estrategia y asesoramientoEstrategia y asesoramiento

Servicios de consultoríaServicios de consultoría

Servicios de aprendizajeServicios de aprendizaje

Servicios gestionadosServicios gestionados

Encuentre un socio en OpenTextEncuentre un socio en OpenText

Buscar una solución asociadaBuscar una solución asociada

Crecer como socioCrecer como socio

Hágase socio

Biblioteca de activosBiblioteca de activos

BlogsBlogs

EventosEventos

Destacados

Analytics Cloud

Base de datos analítica

Análisis de datos no estructurados

Inteligencia de negocio e informes

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Búsqueda empresarial

Business Network Cloud

Integración de la cadena de suministro

Servicios de integración B2B

Colaboración en el ecosistema

Content Cloud

Gestión de documentos

Gestión de contenidos AI

Integraciones empresariales

Captura y procesamiento inteligente de documentos

Information Archiving

Automatización de procesos

Gobernanza de la información

Cybersecurity Cloud

Seguridad de las aplicaciones

Identity and Access Management

Protección de datos

Investigaciones y análisis forenses digitales

Inteligencia sobre amenazas

Detección de amenazas y respuesta

Developer Cloud

Information Management Services

Developer Cloud documentación técnica

DevOps Cloud

Plataforma DevOps

PPM y Gestión Estratégica Portfolio

Gestión de la calidad

Pruebas funcionales

Ingeniería de rendimiento

Experience Cloud

Experiencias web y de marca

Mensajería

Recorrido del cliente y datos

Media Management

Análisis de Contact Center

IT Operations Cloud

Gestión de servicios

FinOps

AIOps y observabilidad

Automatización

Gestión de redes

Portfolio

Protección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datos

La información reimaginada

Inteligencia artificial

Industria

Aplicaciones empresariales

Su viaje hacia el éxito

Atención al cliente

Servicios de éxito del cliente

Estrategia y asesoramiento

Servicios de consultoría

Servicios de aprendizaje

Servicios gestionados

Encuentre un socio en OpenText

Buscar una solución asociada

Crecer como socio

Biblioteca de activos

Blogs

Eventos

Comunidades

Historias de clientes

OpenText Navigator