Las pruebas y la automatización dan sus frutos para DevSecOps de la NSA …



La comunicación con las partes interesadas, las pruebas exhaustivas y la automatización sólida pagan dividendos para la agencia de inteligencia militar, uno de los varios presentadores en la conferencia virtual Commit de GitLab.

Para las empresas preocupadas por la seguridad que buscan un desarrollo más rápido, un sello distintivo de los marcos ágiles como DevOps, la Agencia de Seguridad Nacional de EE. UU. (NSA) tiene un mensaje para ti: prueba, tómatelo con calma, pero hazlo bien y tus desarrolladores se lo agradecerán. tú.

A partir de 2018, la NSA se embarcó en un proyecto para generar más soporte para sus desarrolladores y combinar múltiples instancias de repositorios de código fuente. Mientras que la agencia gubernamental secreta, cuyas misiones incluyen espiar las comunicaciones de otros países y esforzarse por proteger las redes clasificadas de EE. UU., Tiene que trabajar dentro de las restricciones de una crimson en gran parte con espacios abiertos, el equipo de DevX creó una red «altamente disponible y elásticamente escalable arquitectura en AWS «que permite el desarrollo rápido de software en un entorno seguro, dijo Eric Mosher, líder técnico de DevX DevOps Pipeline en la NSA, en una presentación en la conferencia digital GitLab Commit la semana pasada.

Originalmente, instalado desde código en 2013, el repositorio de fuentes de la NSA languideció hasta 2018, cuando la agencia lanzó su proyecto DevX para mejorar la experiencia de los desarrolladores. El equipo realizó una amplia reestructuración de su enfoque para mantener sus requisitos de seguridad y al mismo tiempo permitir la menor cantidad posible de cambios personalizados. Incluso con numerosos ensayos en seco, los desarrolladores todavía tuvieron problemas, dijo Mosher.

«No sabíamos cuál period el tipo de prueba adecuado para realizar y necesitábamos una automatización más inteligente», dijo. «Después de la actualización, nos aseguramos de incorporar más de estas pruebas automatizadas … y agregamos esa automatización más inteligente».

Sin embargo, al ultimate, el proyecto dio como resultado una tubería totalmente compatible con DevOps que permite a los desarrolladores gubernamentales crear funciones más rápidamente y, al mismo tiempo, cumplir con las estrictas normas de seguridad que rigen la operación de la NSA, dijo Mosher.

«Una de las cosas que es realmente genial para mí es que la gente se acerque a nosotros y nos dé las gracias … realmente estás fortaleciendo nuestra misión», dijo.

La NSA se une a muchas otras empresas para comprometerse con DevOps y DevSecOps que incluye seguridad, que han logrado avances significativos en las empresas el año pasado. No es de extrañar: los desarrolladores se miden por la calidad de su código (36%) y el uso de los comentarios de los clientes (35%), y la seguridad influye en ambas métricas, dijo Amy DeMartine, vicepresidenta y directora de investigación de Forrester Research durante una presentación. en la conferencia virtual.

«¿Qué les importa a los desarrolladores? Los desarrolladores se miden de manera bastante diferente que el equipo de seguridad, (pero) cuando piensas en lo que están viendo y cómo se miden y cómo se ve su éxito, la seguridad juega en ambos», ella dijo.

Si bien la competencia empresarial empuja a las empresas a acelerar su desarrollo, las realidades de la ciberseguridad obligan a las empresas a incorporar más controles de seguridad en el desarrollo. En 2019, por ejemplo, un tercio de las empresas sufrieron una infracción, según Forrester, y para los ataques externos, las principales causas de las infracciones fueron las vulnerabilidades de software package, que representan el 40% de las causas especificadas, y las fallas de las aplicaciones net, que representan el 37%. (La encuesta permitió más de una respuesta).

Sin embargo, la automatización puede acelerar el desarrollo y mejorar la seguridad. Si bien las principales prioridades de los desarrolladores en los próximos 12 meses incluyen utilizar más entornos de desarrollo basados ​​en la nube y satisfacer mejor las demandas comerciales de su empresa, la automatización figura en gran medida entre las 10 principales prioridades futuras. Los desarrolladores quieren aumentar la automatización del ciclo de vida de desarrollo seguro, acelerar sus ciclos de lanzamiento e implementación y utilizar más software package de código abierto para reducir el tiempo de desarrollo.

El resultado es que el 38% de los desarrolladores están lanzando software program mensualmente o más rápido, frente al 27% en 2018, según Forrester Study.

La misma automatización aplicada a la seguridad marca la diferencia, dijo DeMartine de Forrester. Las empresas que escanean automáticamente sus aplicaciones a diario (300 veces o más al año) corrigen vulnerabilidades 11,5 veces más rápido que aquellas que escanean menos de tres veces al año, según ha descubierto Forrester.

«Están tratando de lanzarse más rápido, están tratando de hacer llegar su genio a los clientes más rápido que nunca», dijo.

Forrester recomienda que las empresas implementen pruebas de seguridad de aplicaciones estáticas (SAST), pruebas de seguridad de aplicaciones dinámicas (DAST) y análisis de composición de computer software (SCA). Hasta ahora, solo un tercio de las empresas han implementado SAST en la etapa de desarrollo, pero más empresas planean implementar DAST durante el desarrollo y las pruebas, 34% y 43%, respectivamente, con las pruebas de seguridad de aplicaciones más interactivas (IAST) mostrando aún mejor números.

El análisis de la composición del software package, que incluye la administración y verificación de la seguridad de los componentes de código abierto, también está despegando con el 37% de las empresas que planean agregar la capacidad al desarrollo, frente al 31% que lo tiene implementado hoy, según Forrester.

Al closing, la NSA adoptó ampliamente la automatización para acelerar, y hacer más confiable, su propia infraestructura. La agencia utiliza Terraform para la automatización de la infraestructura en la nube, Ansible para la automatización de la construcción y GitLab para la integración y el despliegue continuos. De la gran infraestructura creada en la nube, solo dos aplicaciones son personalizadas para la NSA, dijo Mosher.

«Es por eso que podemos movernos rápidamente», dijo. «Reducimos cualquier trabajo personalizado que estamos haciendo, y esas cosas personalizadas son muy, muy estables y se integran bien».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading through, MIT&#39s Technologies Overview, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique