Exploración del desplazamiento de seguridad a la izquierda

  • 1 minuto

Se recomienda el enfoque de desplazamiento a la izquierda no solo en relación con las pruebas. La misma idea se extiende al dominio de seguridad. Los principios de DevSecOps están diseñados para transmitir la importancia de incorporar la seguridad en cada fase de DevOps (a partir del planeamiento y el desarrollo), de la manera que a veces se conoce como Seguridad continua. La organización descrita en nuestro escenario de ejemplo es consciente de las implicaciones de ignorar estos principios. En esta unidad, examine el significado del enfoque shift-left para la seguridad y las formas recomendadas de implementarlo.

¿En qué consiste la seguridad con desplazamiento a la izquierda?

Diagrama en el que se muestran componentes de la seguridad 'shift-left', como Dev, Ops, SDL y OSA.

En el contexto de seguridad, el desplazamiento a la izquierda se traduce en la inclusión de actividades de seguridad tan pronto como sea posible en los procesos de ciclo de vida del software. Esto comienza con la incorporación de seguridad en el diseño de software mediante el modelado de amenazas para identificar posibles amenazas futuras, evaluar riesgos y definir estrategias de mitigación. El proceso continúa a lo largo del desarrollo de software mediante la implementación de una serie de actividades relacionadas con la seguridad, como revisiones de código y pruebas de seguridad automatizadas. Las revisiones de código deben incluir evaluaciones centradas en la seguridad, tener como destino errores de seguridad, cumplir los estándares de codificación y posibles vulnerabilidades. Las pruebas de seguridad automatizadas implican tareas como pruebas estáticas de seguridad de aplicaciones (SAST), pruebas dinámicas de seguridad de aplicaciones (DAST) y análisis de composición de software (SCA), que se integran en canalizaciones de integración continua/implementación continua (CI/CD).

La supervisión continua, que forma parte de la seguridad continua, es otro elemento adecuado en el enfoque de desplazamiento a la izquierda. Su implementación implica aplicar mecanismos de registro, supervisión y respuesta a incidentes desde el principio del desarrollo.