La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 18-10

DevSecOps - En el meollo de las cosas en lugar de sólo estar ahí

El país necesita nuevas palabras de moda. Después de DevOps, DevSecOps es ahora el tema de moda y por fin está situando la seguridad en el centro del proceso de desarrollo y explotación de software.
Jörg Schneider-Simon, Bowbridge Software
8 noviembre 2018
Contenido:
It-Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Recordamos: Con la charla "10+ Deploys per Day: Dev and Ops Cooperation", Flickr inició un importante replanteamiento de los procesos de desarrollo en 2009.

En aquella época, el desarrollo y las operaciones estaban estrictamente separados y se entregaba un producto "acabado" a los equipos de operaciones al final del proceso de desarrollo. Los errores que sólo se manifestaban en las operaciones se comunicaban al equipo de desarrollo, que los corregía fuera del entorno de operaciones.

Esta metodología, que consume mucho tiempo, ha demostrado ser un cuello de botella y un asesino de la innovación, especialmente en el ámbito del desarrollo de aplicaciones web. Con DevOps, los desarrolladores y las operaciones deben estar ahora en el mismo barco y asumir las actualizaciones en unidades más pequeñas y ciclos mucho, mucho más cortos en el entorno productivo ("deploy").

Para ello, muchas tareas se automatizan en la medida de lo posible y se ejecutan continuamente en segundo plano. Así, los errores se detectan y solucionan antes. Todo el proceso, desde el desarrollo hasta la explotación, debe ser literalmente más "ágil" y, por tanto, más rápido.

Según el "DevOps Trend Study 2017", solo algo más de la mitad de las empresas en Alemania utilizan DevOps, y en muchos casos todavía se encuentran en la primera fase, la implementación real de DevOps.

En el entorno SAP, que tradicionalmente está mucho más segmentado (SO/centro de datos, BD, Basis, aplicación), esta cifra es probablemente mucho menor. Después de todo, el adagio "nunca toques un sistema en ejecución" se aplica con mucha más fuerza a las aplicaciones de misión crítica que a otras aplicaciones web.

Además, muchos de los conceptos de DevOps, como la integración continua y las pruebas unitarias automatizadas, son difíciles de integrar en los procesos de desarrollo tradicionales de SAP. Así pues, DevOps -incluso antes de que haya llegado realmente al entorno SAP- ya se ha quedado obsoleto de nuevo o más bien se ha complementado.

Porque si la seguridad se convierte en un criterio para el funcionamiento de las aplicaciones y, al igual que antes los defectos funcionales, tiene el potencial de devolver los resultados del proceso ágil DevOps a la mesa de dibujo, entonces la seguridad también debe integrarse en el proceso de desarrollo en una fase temprana.

Este es precisamente el enfoque que adopta DevSecOps. A los expertos en seguridad no se les debe confiar la seguridad del producto acabado "desde fuera", por así decirlo, sino que deben identificar las lagunas que pueden convertirse en problemas de seguridad durante el funcionamiento "aguas arriba", es decir, en las primeras fases del ciclo de vida de desarrollo del software, y prevenirlas, idealmente mediante un código mejor y más seguro.

Incluso si algunos conceptos de DevOps no pueden transferirse uno a uno al desarrollo SAP, el hecho es que muchas de las notas de seguridad "críticas" o incluso "noticias candentes" de los últimos años podrían haberse evitado integrando sistemáticamente la seguridad en el proceso de desarrollo. Lo mismo se aplica, por supuesto, a la media de dos millones de líneas de código personalizado que existen en los sistemas SAP productivos.

Las herramientas que hacen posibles muchos de los enfoques ágiles de DevSecOps en primer lugar son numerosas en el área de SAP: desde herramientas excelentemente integradas para el análisis estático de código, pruebas estáticas de seguridad de código (SAST) hasta la automatización de pruebas de soluciones empaquetadas.

Estas herramientas y la cooperación continua y la capacidad intelectual combinada de los desarrolladores de SAP, los expertos en seguridad y los equipos de operaciones conducen inevitablemente a evitar muchos errores de seguridad evidentes en el código personalizado. La seguridad se incorpora al código en lugar de imponerse desde fuera.

Teniendo en cuenta el coste medio de un incidente de seguridad SAP, que según un estudio del Ponemon Institute es de 4,5 millones de dólares estadounidenses, la motivación por parte de las empresas para aplicar los conceptos DevSecOps al desarrollo de aplicaciones SAP debería ser, por tanto, elevada.

Pero, ¿quizá sólo falta la palabra de moda adecuada? En ese caso, me gustaría lanzar DevSecSAPOps al ruedo.

avatar
Jörg Schneider-Simon, Bowbridge Software

Jörg Schneider-Simon es Director Técnico de Bowbridge Software, fabricante de soluciones de ciberseguridad para aplicaciones SAP.


Todos los artículos del autor

Escriba un comentario

El suplente del CEO de SAP

Workday Illuminate es la nueva generación de Workday AI

Workday firma un acuerdo para adquirir Evisort

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.