Durante siglos, muchos aventureros se lanzaron hacia geografías inexploradas para descubrir El Dorado, una tierra utópica cubierta de riquezas. Hoy, los responsables de desarrollo de software de las empresas persiguen la idea del "pipeline dorado": un enfoque que garantice que se contempla la seguridad en cada paso.
Tienen una ventaja respecto de aquellos aventureros: con disciplina y mejores prácticas, el pipeline dorado sí es posible de alcanzar.
El concepto consiste en incorporar todos los controles de seguridad necesarios en cada uno de los pasos del desarrollo:
En el camino, se utilizan herramientas para pruebas de análisis de riesgo y vulnerabilidades durante la creación del software, como:
Todas ellas cumplen una doble función: por un lado, acercan a la organización al cumplimiento normativo, ya que suelen estar en línea con los marcos normativos vigentes; por el otro, son claves para generar confianza en los usuarios.
Los beneficios de un enfoque de pipeline dorado son múltiples y van mucho más allá de un desarrollo seguro.
Entre otras cosas, simplifica los procesos de auditoría y gestión de cambios (registra pruebas y solicitudes durante todo el proceso para asegurarse que se sigan los controles en cada caso).
También acerca a las partes interesadas para que colaboren y generen consensos, algo fundamental para mitigar riesgos.
Por último, le quita la carga del compliance a cada equipo de desarrollo en particular, debido a que se trata de políticas únicas y unificadas para todos.
Pero el desarrollo seguro en sí mismo es clave: se cierran los caminos para que los atacantes puedan llegar a producción ingresando en etapas previas e introduciendo cambios no aprobados que puedan poner en riesgo a toda la organización.
Mencionábamos que el pipeline dorado abarca el monitoreo posterior: esta no es una etapa más, sino una pieza clave para el éxito.
Registrar cada implementación aprobada y monitorear el software en producción es la única manera de estar seguros realmente de lo que se está ejecutando y agrega una capa adicional de seguridad.
En resumen, esta metodología convierte una gestión de riesgos subjetiva en un proceso objetivo y efectivo, ya que facilita una auditoría automática y continua, es más confiable, más rápido y elimina la necesidad de realizar controles manuales.
Así, se logra obtener el mejor tesoro por parte de los equipos de desarrollo: software seguro, de la más alta calidad y que cuenta con la confianza plena de todos sus usuarios.
*Por Luciano Moreira, Chief DevSecOps Strategy Officer (CDSO) de Cloud Legion