DevSecOps - En el meollo de las cosas en lugar de sólo estar ahí

Recordamos: Con la presentación "10+ Deploys per Day: Dev and Ops Cooperation", Flickr inició un importante replanteamiento de los procesos de desarrollo en 2009, cuando el desarrollo y las operaciones estaban estrictamente separados y se entregaba un producto "terminado" a los equipos de operaciones para su explotación al final del proceso de desarrollo. Los errores que sólo se ponían de manifiesto durante el funcionamiento se comunicaban al equipo de desarrollo, que los corregía fuera del entorno operativo.

Esta metodología, que consume mucho tiempo, ha demostrado ser un cuello de botella y un asesino de la innovación, especialmente en el ámbito del desarrollo de aplicaciones web. Con DevOps, los desarrolladores y las operaciones deben estar ahora en el mismo barco y desplegar las actualizaciones en el entorno productivo en unidades más pequeñas y ciclos mucho, mucho más cortos, con muchas tareas automatizadas en la medida de lo posible y realizadas continuamente en segundo plano. De este modo, los errores se detectan y corrigen antes. Todo el proceso, desde el desarrollo hasta la operación, debería ser literalmente más "ágil" y, por tanto, más rápido.

SAP y DevOps

Según el "DevOps 2017 Trend Study", solo algo más de la mitad de las empresas en Alemania utilizan DevOps y en muchos casos todavía se encuentran en la primera fase, la implementación real de DevOps. En el entorno SAP, que tradicionalmente todavía está mucho más segmentado (OS/centro de datos, DB, Basis, aplicación), esta cifra es probablemente significativamente menor. Después de todo, la máxima "nunca toques un sistema en ejecución" se aplica mucho más a las aplicaciones críticas para el negocio que a otras aplicaciones web.

Además, muchos de los conceptos de DevOps, como la integración continua y las pruebas unitarias automatizadas, son difíciles de integrar en los procesos de desarrollo tradicionales de SAP. Así pues, DevOps -incluso antes de que haya llegado realmente al entorno SAP- ya se ha quedado obsoleto de nuevo o más bien se ha complementado.

Porque si la seguridad se convierte en un criterio para el funcionamiento de las aplicaciones y, al igual que antes los defectos funcionales, tiene el potencial de devolver los resultados del proceso ágil DevOps a la mesa de dibujo, entonces la seguridad también debe integrarse en el proceso de desarrollo en una fase temprana.

Prevenir las vulnerabilidades de seguridad en una fase temprana

Este es precisamente el enfoque que adopta DevSecOps. A los expertos en seguridad no se les debe confiar la seguridad del producto acabado "desde fuera", por así decirlo, sino que deben identificar las lagunas que pueden convertirse en problemas de seguridad durante el funcionamiento "aguas arriba", es decir, en las primeras fases del ciclo de vida de desarrollo del software, y prevenirlas, idealmente mediante un código mejor y más seguro.

Incluso si algunos conceptos de DevOps no pueden transferirse uno a uno al desarrollo SAP, el hecho es que muchas de las notas de seguridad "críticas" o incluso "noticias candentes" de los últimos años podrían haberse evitado integrando sistemáticamente la seguridad en el proceso de desarrollo. Lo mismo se aplica, por supuesto, a la media de dos millones de líneas de código personalizado que existen en los sistemas SAP productivos.

Las herramientas que hacen posibles muchos de los enfoques ágiles de DevSecOps en primer lugar son numerosas en el área de SAP: desde herramientas excelentemente integradas para el análisis estático de código, pruebas estáticas de seguridad de código (SAST) hasta la automatización de pruebas de soluciones empaquetadas.

Estas herramientas y la cooperación continua y la capacidad intelectual combinada de los desarrolladores de SAP, los expertos en seguridad y los equipos de operaciones conducen inevitablemente a evitar muchos errores de seguridad evidentes en el código personalizado. La seguridad se incorpora al código en lugar de imponerse desde fuera.

En vista del coste medio de un incidente de seguridad SAP, que según un estudio del Ponemon Institute es de 4,5 millones de dólares, las empresas deberían estar muy motivadas para aplicar los conceptos de DevSecOps al desarrollo de aplicaciones SAP. Pero, ¿quizá sólo falta la palabra de moda adecuada? En este caso, me gustaría lanzar DevSecSAPOps al ruedo.