Mitos de la Seguridad Cloud #6: Una forma eficaz de «desplazar el testeo a la izquierda» es imponer más requisitos de seguridad a los equipos de DevOps

Tabla de contenidos

El mito anterior plantea la siguiente duda: ¿cómo podemos incorporar de manera eficaz la seguridad a un proceso DevOps? El equipo de seguridad siempre tendrá competencias por encima de las responsabilidades de los equipos de DevOps y estos no aceptarán fácilmente ningún proceso que les retrase. La clave reside en que el equipo de seguridad involucre al de DevOps en la mejora de la seguridad y la adapte a sus métodos existentes, empleando las herramientas que los equipos de DevOps ya utilizan.

Ejemplos de buenas prácticas en seguridad para los equipos de DevOps

Por ejemplo, si usan Jenkins para el CI/CD, el equipo de seguridad puede establecer una medida de control que avise cuando una imagen no cumpla con la política de seguridad y explique por qué. El equipo de DevOps debería poder ver la imagen fallida desde Jenkins y comprobar, dentro de este, cómo se podría arreglar el problema y crear una imagen homologada. En este ejemplo, el equipo de seguridad ha sido capaz de educar al de DevOps y acortar el tiempo de reparación sin imponer sus propios procesos y conocimientos, sino mediante la integración de una solución de seguridad nativa en la nube en una herramienta de DevOps. Este mismo método también puede utilizarse para bloquear el avance de esas imágenes en el proceso, pero siempre es mejor un aviso a tiempo que un bloqueo.

Este mito se abordó en la comunidad de seguridad cloud durante la entrevista con uno de los responsables de devsecops en ManoMano:

Compartir entrada en:

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email

Contacto rápido

Responsable: davincigroup.es

Finalidad de la recogida y tratamiento de los datos personales: gestionar la solicitud que realizar en este formulario de contacto.

Derechos: Puedes ejercer tus derechos de acceso, rectificación, limitación y eliminar los datos en info@davincigroup.es así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: en la política de privacidad de davincigroup.es encontrarás información adicional sobre la recopilación y el uso de tu información personal.

Solicitar más información

Responsable: davincigroup.es

Finalidad de la recogida y tratamiento de los datos personales: gestionar la solicitud que realizar en este formulario de contacto.

Derechos: Puedes ejercer tus derechos de acceso, rectificación, limitación y eliminar los datos en info@davincigroup.es así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: en la política de privacidad de davincigroup.es encontrarás información adicional sobre la recopilación y el uso de tu información personal.