Seguridad en el ciclo de vida de desarrollo del software

El ciclo de vida de desarrollo del software (SDLC) es un marco que se utiliza para desarrollar, implementar y mantener el software. El marco implica la ejecución de varias tareas y actividades que se dividen en seis u ocho etapas para mejorar la calidad del software haciendo énfasis en el proceso. El propósito de esto es que sea posible medir y analizar el sistema, incorporar mejoras y, a su vez, supervisar el progreso y los costos. 

Estas son las etapas del SDLC:

• Planificación: determinar el alcance y la finalidad del software
• Análisis de los requisitos: definir las funciones que debe ejecutar el software
• Diseño: decidir los parámetros clave, como la arquitectura, las plataformas y las interfaces de usuario
• Desarrollo: crear e implementar el software
• Documentación: producir la información para que los usuarios y las partes interesadas puedan utilizar el sistema
• Pruebas: verificar que el software cumpla con los requisitos
• Implementación: poner el software a disposición de los usuarios
• Mantenimiento: solucionar los errores y los puntos vulnerables que se descubran en el sistema

A simple vista, el SDLC y la gestión del ciclo de vida de las aplicaciones (ALM) parecen muy similares: ambos se encargan de desarrollar y gestionar el sistema. Sin embargo, el ciclo de vida de desarrollo del software puede considerarse un subconjunto de la ALM que se centra principalmente en la etapa de desarrollo. Mientras que el SDLC solo abarca una aplicación, la ALM suele utilizarse de manera más amplia para gestionar toda una cartera de productos de software.  

Es un error común pensar que el SDLC está ligado a una metodología específica de desarrollo de software. Es cierto que si se ejecutan las ocho etapas del SDLC en orden secuencial, parecen describir el proceso en cascada, pero es importante recordar que además del proceso en cascada, el enfoque ágil, el eficaz, el repetible, el de espiral y el de DevOpstambién son metodologías de SDLC. Estas pueden variar según las etapas que incluyen, el orden de ejecución o el nombre que se le da a cada una de ellas. Por ejemplo, es posible que se agrupen diferentes actividades en una sola etapa, como la planificación y el análisis de los requisitos. Independientemente de las diferencias, el SDLC ofrece un marco que puede utilizarse para comprender y evaluar las actividades necesarias para desarrollar el software.

Las metodologías de SDLC, como la ágil y la de DevOps, se centran en el enfoque repetitivo del desarrollo de software en lugar de la estrategia lineal en cascada.

Uno de los problemas más comunes en el desarrollo de software es que la seguridad se aborda en una etapa demasiado avanzada del proceso: la de pruebas, después de haber completado las tareas más importantes de diseño e implementación. En muchos casos, los controles de seguridad que se ejecutan en esa etapa son superficiales, es decir, se limitan al análisis y a las pruebas de intrusión. Por eso, es posible que se pasen por alto problemas de seguridad más complejos. 

Los enfoques de aplicación de las medidas de seguridad desde las primeras etapas del desarrollo (shift left) y en las últimas etapas del desarrollo (shift right) surgieron como respuesta a la necesidad de centrarse en la seguridad a lo largo de todo el SDLC. Al adoptar estos principios, los equipos pueden corregir las fallas de seguridad en las etapas más tempranas, ahorrar dinero que de otro modo se gastaría en modificaciones costosas y tener más posibilidades de evitar retrasos al pasar a la etapa de producción.

La implementación de procesos de seguridad eficaces requiere que los equipos apliquen el enfoque shift left, es decir, tomen las medidas de protección desde las primeras etapas del SDLC y en cada una de ellas. Hay ciertos pasos que se pueden seguir en cada etapa para lograr el ciclo de vida de desarrollo del software seguro (SSDLC). Por ejemplo:

Las empresas necesitan un conjunto de procesos y prácticas que se actualicen de manera constante para poder enfrentar las crecientes amenazas a la seguridad. En el SSDLC, los puntos y los controles de seguridad deben implementarse desde el principio del proceso de desarrollo e implementación. Las empresas adoptan el enfoque de DevOps y los canales automatizados de integración e implementación continuas (CI/CD) para poder implementar mejoras de manera permanente y rápida. Para evitar los bloqueos, la seguridad debe ser un proceso constante y automatizado. Los equipos de desarrollo deben encargarse de la protección de las aplicaciones, además del diseño, el desarrollo, las operaciones y el mantenimiento. 

DevSecOps es un conjunto de prácticas que incluyen personas, procesos y tecnologías para mejorar la velocidad y la eficiencia del desarrollo del software, mientras que ofrecen mayor seguridad, uniformidad, capacidad de repetición y colaboración. La clave está en compartir la responsabilidad entre los equipos de desarrollo, de operaciones y de seguridad. Estos son algunos de los objetivos de DevSecOps:

• Mejorar la seguridad y disminuir los riesgos gracias a la eliminación de más puntos vulnerables desde el inicio del ciclo de vida de la infraestructura y el desarrollo de las aplicaciones, lo cual reduce los problemas potenciales en la etapa de producción.
• Aumentar la eficiencia y la velocidad de los ciclos de lanzamiento de DevOps con la eliminación de las prácticas y las herramientas de seguridad heredadas. El uso de la automatización; la adopción de una cadena de herramientas de manera estandarizada; y la implementación de la infraestructura, la seguridad y el cumplimiento normativo como código para mejorar la capacidad de repetición y la uniformidad pueden optimizar el proceso de desarrollo.
• Disminuir los riesgos y aportar claridad mediante la implementación de controles de seguridad desde el comienzo del ciclo de vida de la infraestructura y el desarrollo de las aplicaciones, lo cual reduce la probabilidad de que se cometan errores humanos y mejora la seguridad, el cumplimiento normativo y la capacidad para anticipar los inconvenientes y repetir los procesos que permitan solucionarlos, y disminuye los problemas de auditoría.

Las cuatro etapas del modelo de DevSecOps permiten garantizar que se incorpore la seguridad al canal de CI/CD y que se adapte a medida que cambien las condiciones en la empresa o en el mundo. Open Web Application Security Project® (OWASP) es una fundación sin fines de lucro que ofrece proyectos de software open source de la comunidad para mejorar la seguridad de los sistemas y generar conciencia sobre este tema. También brinda proyectos, herramientas y documentos gratuitos que pueden utilizarse para mejorar el ciclo de vida de desarrollo de la seguridad.

La seguridad de la cadena de suministro de software combina las prácticas recomendadas de la gestión de los riesgos y la ciberseguridad para proteger a dicha cadena de los posibles puntos vulnerables. La cadena está formada por absolutamente todo lo relacionado con el código durante el SDLC, desde el diseño de la aplicación hasta los canales de CI/CD y la implementación. 

La seguridad de la cadena de suministro de software es fundamental para su empresa, sus clientes y las empresas que dependen de las contribuciones al open source. Si bien nadie quiere tener filtraciones en sus sistemas, tampoco quiere ser responsable de que otro enfrente una situación similar. Por eso la clave está en proteger la cadena de suministro de software. 

A continuación, se definen algunas prácticas recomendadas que los equipos de seguridad deberían tener en cuenta:

• Ofrecer el acceso con privilegios mínimos a los recursos de la cadena de suministro (p. ej., las herramientas para los desarrolladores, los repositorios de código fuente y otros sistemas de software), habilitar la autenticación de varios factores y usar contraseñas seguras.
• Reforzar la seguridad de todos los dispositivos conectados y los datos confidenciales.
• Conocer a los proveedores y a las personas con quienes se hacen negocios, especialmente a los proveedores directos. Evaluar los riesgos de las políticas públicas respecto de los aspectos vulnerables y de las medidas de ciberseguridad de cada proveedor.

Red Hat ofrece sistemas de software open source confiables que permiten que las empresas implementen un enfoque de seguridad en capas en toda la infraestructura y el ciclo de vida y la stack de las aplicaciones para mejorar la protección de las instalaciones, la nube o los sitios del extremo de la red. Las tecnologías de Red Hat se desarrollan con un proceso centrado en la seguridad de la cadena de suministro de software. Este enfoque permite que las empresas se concentren en la creación, la gestión y el control de los entornos híbridos, la implementación de una estrategia de automatización y la incorporación de la seguridad en el SDLC con las prácticas de DevSecOps.

Red Hat y su ecosistema de partners de seguridad ofrecen un enfoque integral de DevSecOps para que las empresas puedan seguir generando innovaciones sin comprometer la seguridad. Tenemos la experiencia y la capacidad para ofrecer una cartera sólida de productos destinados al diseño, la implementación y la ejecución de las aplicaciones centradas en la seguridad en una nube híbrida abierta, lo cual nos permite ayudar a las empresas sin importar en qué etapa del proceso de DevSecOps se encuentren.