Independientemente de lo que necesites, existe una aplicación para ello. De hecho, hay 1,81 millones de aplicaciones en Manzana‘s App Store en 2024, según Business of Apps. Esta tendencia creciente se ha extendido desde nuestros bolsillos a nuestras empresas con una mayor adopción de software como servicio (SaaS) y computación en la nube. La empresa promedio tiene 371 SaaS aplicaciones, mientras que IDC encontró que las empresas gastaron $ 315,5 mil millones en servicios públicos servicios en la nube durante el primer semestre de 2023.
Todo este software y todas estas aplicaciones están hechos por humanos, y es notorio que las personas cometen errores. Los errores en el desarrollo de software aumentan la probabilidad de ataques, lo que conduce a incidentes de seguridad. Multiplique estos riesgos por el tamaño de su pila tecnológica y mantener su entorno seguro parece casi imposible.
Identificar problemas tempranamente
Para aliviar parte de la carga de riesgo y seguridad, encuentre los problemas en una etapa más temprana del proceso de desarrollo de software. Esto se denomina concepto de “desplazamiento a la izquierda”, ya que implica ejecutar análisis y revisiones de seguridad en una etapa más temprana del ciclo de vida de desarrollo de software (SDLC). software de escaneo en el proceso de integración continua/implementación continua (CI/CD) señala problemas que necesitan atención antes de que se vuelvan vulnerables a los atacantes. Al encontrar errores, configuraciones incorrectas o vulnerabilidades antes, también puede solucionarlos antes y a un costo menor que cuando esos mismos problemas se ejecutan en aplicaciones de producción o son parte de software implementado en miles o millones de activos del mundo real.
Aunque el concepto de seguridad de giro a la izquierda se ha discutido como una mejor práctica durante los últimos años, no parece estar bien implementado. Los datos del Informe de uso y seguridad nativo de la nube de Sysdig 2024 encontraron que los análisis en los sistemas de producción fallaron con más frecuencia que los del proceso de compilación de CI/CD. El informe identificó el 91% de las fallas en las políticas de escaneo de producción, mientras que los escaneos de CI/CD fallaron en un 71%. Los análisis de CI/CD se realizan antes de los análisis en tiempo de ejecución de producción, por lo que cualquier error detectado en el proceso de compilación de CI/CD se debe corregir antes de analizarlos en tiempo de ejecución. Entonces, ¿por qué vemos una tasa de fallas tan alta durante el tiempo de ejecución si el concepto de desplazamiento a la izquierda es la mejor práctica?
Estratega de ciberseguridad, Sysdig.
Realizar cambios en sus procesos
En primer lugar, mejorar colaboración entre equipos en lugar de simplemente abordar los requisitos de seguridad por sí solos casi siempre resultará más eficaz y sostenible. A los ojos de un desarrollador, desplazar hacia la izquierda requiere responsabilidades adicionales para correcciones y cambios sin asistencia adicional. Para ellos, desplazarse hacia la izquierda puede parecer más un aumento de la carga de trabajo que un cambio de enfoque que pueda reducir los riesgos de seguridad.
Para superar este obstáculo y hacer que los procesos de desplazamiento a la izquierda funcionen, el personal de seguridad debe comprender cómo trabajan realmente en la práctica sus colegas desarrolladores. ¿Las aplicaciones que crean siguen principios de diseño tradicionales, son aplicaciones nativas de la nube diseñadas para ser distribuidas, inmutables y efímeras (DIE), o hay una combinación de compilaciones en transición de tradicionales a nativas de la nube?
Al comprender mejor cuán complejos son sus entornos y compilaciones de aplicaciones, los equipos de seguridad pueden ayudar a los desarrolladores a explorar qué riesgos existen en sus aplicaciones y cómo priorizar y mitigar las mayores amenazas antes de que entren en producción. Esto debería incluir determinar qué tan importante es el riesgo para su organización y su entorno, y qué pasos se requieren para mitigarlo. Este proceso garantiza que los desarrolladores puedan centrarse en cualquier cambio que deban realizar donde más se necesita, como vulnerabilidades críticas explotables o configuraciones erróneas.
De manera similar, los equipos de seguridad y sus herramientas también pueden señalar dónde se podrían incluir componentes o permisos desperdiciados en las imágenes de contenedores estándar. Los desarrolladores suelen utilizar contenedores de software o imágenes de máquinas como plantillas estandarizadas para su implementación. Sin embargo, si esas plantillas contienen componentes desactualizados, cada uso de esa plantilla se marcará como un riesgo de seguridad adicional. La actualización de las plantillas de carga de trabajo de los desarrolladores reducirá la cantidad de alertas y riesgos de seguridad y minimizará los esfuerzos de trabajo repetitivos.
Mejorar la seguridad antes de la producción.
Idealmente, los contenedores de software deben ser inmutables. Esto significa que una carga de trabajo no cambia durante el tiempo de ejecución. La deriva del contenedor, o las modificaciones y actualizaciones realizadas en un contenedor mientras está en producción, a menudo activa alertas de seguridad, pero es una práctica común para los desarrolladores. Si los desarrolladores se abstienen de realizar modificaciones en la carga de trabajo durante el tiempo de ejecución (control de deriva), los equipos de seguridad pueden tener detecciones más sensibles y de mayor fidelidad configuradas para la deriva de contenedores, lo que indica actividad potencialmente maliciosa en lugar de ruido de desarrollo.
Los análisis en tiempo de ejecución son más precisos a la hora de resaltar los problemas de seguridad que están activos en un entorno de producción. Estos análisis mantienen los problemas de seguridad más cerca del equipo de seguridad en lugar de pasar los problemas de seguridad a los desarrolladores. Los problemas que existen en los entornos de producción tienen el potencial de afectar negativamente las operaciones comerciales.
Beneficios de seguridad a largo plazo
Todos dependemos del software y las aplicaciones en nuestra vida diaria y en nuestras organizaciones. Este software debe mantenerse seguro. Podemos mejorar su seguridad desplazándonos hacia la izquierda y manteniendo el mantra «seguro por diseño». El software y las aplicaciones que se crean de forma segura tienen menos riesgo de ataque y causarán menos fallas en el análisis de políticas, lo que reduce la carga de seguridad tanto para los equipos de seguridad como para los de desarrollo.
En la práctica, los equipos de seguridad necesitan trabajar con los desarrolladores para indicar dónde existen esos riesgos potenciales y cómo pueden eliminarse. Al mismo tiempo, los desarrolladores pueden educar a los equipos de seguridad y colaborar con ellos para evitar que los problemas lleguen al código o a los componentes de la infraestructura. Este trabajo en equipo y el hecho de compartir objetivos comunes mejorarán la calidad y la seguridad general del software en organizaciones enteras.
Hemos enumerado el mejor software de desarrollo de aplicaciones móviles..
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
