FACULTAD DE INGENIERÍA DISEÑO SECCION WX71 ENSAYO PARA LA PARTICIPACIÓN PROFESOR Leo Carlos Israel Ramírez Argume ALUMNO u201914955 – Méndez Pastor Brigitte Melody 2022-01 Ensayo sobre video internacional “Devops to Devsecops” En los últimos años, DevOps ha crecido constantemente como método de desarrollo de software y por su capacidad de desarrollar productos de manera automatizada. Al contar con una manera rápida de generar entregables nos podemos preguntar, ¿en que momento se incluye la revisión de estándares de seguridad de cada entregable?, muchas otras compañías se hicieron la misma pregunta y a raíz de ello nació DevSecOps, en las siguientes líneas se explicará el origen de DevSecOps y sustentará porqué DevSecOps es estrictamente necesario en ciertos ambientes de desarrollo de productos de software. Para entender la idea de DevOps y DevSecOps es necesario entender cuál era el problema y por lo tanto, porqué tales metodologías son la solución. La metodología de desarrollo DevOps surge principalmente para resolver los conflictos entre los equipos de desarrollo y el de operaciones y acelerar el ciclo de vida del desarrollo del software. Antes del origen de DevOps, las organizaciones del mundo IT se basaban en una estructura tradicional, donde desarrolladores y operadores trabajaban por separado, sus objetivos a alcanzar parecían ser contrarios entre sí. Por un lado, el equipo de desarrollo debe responder a los cambios del mercado, llevando nuevas funcionalidades a producción de la manera más rápida posible aplicando la metodología ágil. Mientras que el área de operaciones se encarga de ofrecer servicios estables y fiables cliente, lo cual dificulta llevar a producción cambios que puedan poner en peligro el entorno. El conflicto aparece cuando los equipos implementan medidas para cumplir sus propios objetivos, sin tener en cuenta la repercusión que esto puede causar en los demás. Teniendo a DevOps como solución a los conflictos entre los equipos de desarrollo y operaciones, y asimismo como metodología que permite automatizar el desarrollo y puesta en producción se genera otro conflicto el cual consta de mantener la seguridad del producto e integrarse con el equipo de ciberseguridad, por ello nace DevSecOps, el cual según como lo define el portal de Synopsys es una práctica de tendencia en la seguridad de aplicaciones que implica la introducción de seguridad antes en el ciclo de vida de desarrollo de software (SDLC). También amplía la colaboración entre los equipos de desarrollo, operaciones y software para integrar los equipos de seguridad en el ciclo de entrega de software. DevSecOps es estrictamente necesario para ciertos ambientes de desarrollo de productos de software tales como e-commerce donde se cuenta con datos sensibles como tarjetas de crédito, redes sociales que cuentan con datos como conversaciones privadas, negocios, etc, aplicaciones de bancos donde se maneja tarjetas, retiro y deposito de dinero, etc, esta metodología nos ofrece ventajas como detectar vulnerabilidades de seguridad durante el desarrollo, en lugar de que los problemas se manifiesten después del lanzamiento de la aplicación, donde el público se ve afectado y la reputación de la empresa se ve afectada. Otra ventaja es que debido a que el proceso está automatizado se obtienen menos errores o incidentes de fallas de administración, dos cosas que de otro modo podrían contribuir a los ataques cibernéticos y al tiempo de inactividad. DevSecOps se complementa con la metodología ágil pues da mayor flexibilidad en la gestión de cambios repentinos durante el ciclo de vida del desarrollo. En conclusión, DevSecOps es una metodología importante y en muchos casos necesaria pues nos permite automatizar el desarrollo y entrega de software integrando a los equipos de desarrollo, operaciones y seguridad. Un punto a resaltar es el esfuerzo de las empresas para aplicarlo o para migrar si ya se encontraban trabajando con DevOps, para ello también hay herramientas para que esa migración se pueda hacer la mejor manera. Bibliografía - Lee, J., Kang, K., & Shim, C. Devsecops for Small and Medium-Sized Enterprises: A Systematic Literature Review. Available at SSRN 4010320. Recuperado de: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4010320 - Koskinen, A. (2019). DevSecOps: building security into the core of DevOps. Recuperado de: https://jyx.jyu.fi/bitstream/handle/123456789/67345/URN%3aNBN%3afi %3ajyu-202001171290.pdf?sequence=1&isAllowed=y - Synopsys (2022) DevSecOps. Recuperado https://www.synopsys.com/glossary/what-is-devsecops.html de: