Como apuntamos en un post anterior, DevOps y Seguridad deben ir de la mano, su integración ha dado lugar al acrónimo DevSecOps. Sin duda las prácticas de codificación segura son una de las metodologías prioritarias al hablar de ciberseguridad y aplicaciones. En este post, aportamos unas nociones básicas sobre este entorno que a veces pasan desapercibidas y que son críticas para proteger a las empresas y sus negocios.

Según el informe sobre el estado de la seguridad del software 2023 de Veracode, proveedor líder en soluciones de pruebas de seguridad para aplicaciones y socio de Omega Peripherals, la acumulación de fallos en las aplicaciones es tal que casi el 32% presenta fallos en un primer escaneo, y cuando llevan cinco años en producción, cerca del 70% tienen al menos un fallo de seguridad.

Teniendo en cuenta el coste que pueden tener los fallos tanto técnicos como de seguridad por su impacto en los procesos de negocio, lo más recomendado es afrontar cuanto antes los errores que pueda haber en una aplicación. Y es que a medida que pase tiempo lo más posible es que vaya acumulando más fallos.

Por esa razón es fundamental adelantar los puntos y controles de seguridad al principio del proceso de desarrollo e implementación con herramientas de escaneo de código de forma estática y dinámica.

Desde Omega Peripherals aconsejamos la ejecución de diferentes tipos de análisis de seguridad:

• SAST (Static Application Security Testing): estas permiten revisar el código fuente durante la fase de desarrollo de la aplicación y prevenir problemas de seguridad futuros.
• DAST (Dynamic Application Security Testing): este tipo de herramientas permiten realizar el escaneo tras desplegar la aplicación, no necesitando tener acceso al código fuente.
• SCA (Software Composition Analysis): escaneo de vulnerabilidades de dependencias usadas o de librerías de terceros.

¿Qué riesgos se corrigen con un programa AppSec?

Lo más adecuado es que el uso de unos u otros análisis se determine en un protocolo de gestión del ciclo de vida de las aplicaciones en el que se incorporen aspectos como la gestión de cambios, la asignación de recursos y los controles organizativos.

Para poner en práctica este planteamiento es necesario contar con un programa de Application Security (AppSec) con el que iniciar las acciones necesarias para proteger las aplicaciones de cualquier vulnerabilidad que permita ataques maliciosos. El objetivo es detectar y corregir los fallos de seguridad en el código de las aplicaciones.

Y aquí es donde entra en valor la alianza de Omega Peripherals con Veracode, ya que es un líder en AppSec para crear software seguro, reducir los riesgos y aumentar la productividad de los equipos de desarrollo y seguridad. Sus soluciones se centran no solo en encontrar vulnerabilidades, sino también en solucionarlas.

Desplegando un programa AppSec se cubren las carencias de las organizaciones cuyos desarrolladores no cuentan con formación en seguridad y no la priorizan en sus trabajos, y se hace frente a los cambios y evoluciones de las aplicaciones que pueden convertirse en puertas abiertas para ciberataques cada día más sofisticados.

A la vez, adoptar un enfoque AppSec permite alinearse con las políticas de seguridad corporativas, proteger a la empresa frente a riesgos, cumplir con normativas legislativas y sectoriales, y presentar la seguridad como una ventaja competitiva.

Componentes de un programa de AppSec para desarrollar un software seguro

La adopción de un programa de AppSec conlleva la formación de los desarrolladores en desarrollo seguro; la integración temprana de la seguridad en el ciclo de desarrollo de las aplicaciones; la automatización de la seguridad en todo el ciclo de desarrollo; y una analítica y gobernanza de seguridad (Benchmarking y toma de decisiones vs empresas de mi sector).

La formación de los desarrolladores influye decididamente en la reducción del tiempo necesario para corregir vulnerabilidades. Es muy importante que entiendan qué vulnerabilidades se introducen con mayor probabilidad y qué técnicas lo impiden. Para ello Veracode ofrece ‘Security Labs’, que son cursos interactivos. Una correcta integración y automatización de la frecuencia y realización de múltiples tipos de escáneres, incluidos vía API, en el ciclo de desarrollo es imprescindible para minimizar la introducción de brechas de seguridad. En este sentido, que pasen más meses entre los escaneos aumenta la probabilidad de encontrar fallos cuando se lleve a cabo uno. Además, es recomendable aplicar varias clases de escaneos para identificar fallos difíciles de detectar.

En Omega Peripherals estamos preparados para que la apuesta por desplegar metodologías DevOps siempre sea segura. Te ayudamos a evolucionar a DevSecOps y garantizar una larga y segura vida a tus aplicaciones.