¿Es bueno DevOps para la seguridad empresarial?
¿Ofrece DevOps mejor seguridad gracias a su agilidad, o acelera el desarrollo y despliegue demasiado como para que sea seguro? Esta es una pregunta que muchos se hacen. Después de todo, se está modificando código, actualizando funciones y añadiendo nuevas capacidades constantemente. Varios expertos opinan sobre ello.
Este año puede ser el de gran despegue de DevOps, según predice Gartner, que fija en el 25% de las mayores compañías globales va a utilizar técnicas DevOps, y HP Enterprise incluso llega más lejos afirmando que en el plazo de cinco años, DevOps será la norma en cuanto a desarrollo de software. ¿Significa eso que los problemas de seguridad están a punto de llegar?
Craig Miller, un especialista que ha ayudado a Bing de Microsoft a implementar un modelo de despliegue continuo (el servicio se actualiza cuatro o cinco veces al día), no cree que esto sea necesariamente cierto. “La respuesta clásica es que ser más rápido podría llevar a menor calidad y no creo que eso sea cierto, en absoluto", dice Miller.
El analista de Forrester, Kurt Bittner está de acuerdo y asegura que "hay una percepción de que con DevOps, la velocidad se consigue recortando pasos importantes, que no se controlan y es todo lo contrario; es un entorno muy controlado, muy estructurado y aporta mayor calidad, mejor visibilidad y velocidad".
Este especialista es inflexible sobre la importancia de automatizar las pruebas. "Creo que es la mejor forma de detectar los fallos”. Para el analista, el mayor fallo de muchas compañías es que los permiten en las pruebas y no hay que tener tolerancia alguna al fallo”. Dice, además, que esto podría implicar cambiar las herramientas y las prácticas de desarrollo.
"Poner barreras de protección permite ir más rápido, no más lento", asegura Alan Sharp-Paul, co-fundador de Upguard, proveedor de herramientas DevOps. "Con los controles adecuados, detectando los problemas antes de que lleguen a producción, se reducen los riesgos de seguridad en producción y la sobrecarga de trabajo es prácticamente nula".
Lo mismo se aplica a la detección de brechas, como señala Sam Guckenheimer, del equipo de herramientas para desarrolladores de Microsoft. Con DevOps estás preocupado por cosas como el tiempo medio de detección, el tiempo medio de resolución y la velocidad de solucionarlo. “Si ocurre algo anómalo en una configuración, las empresas disponen de telemetría que les ayuda a detectarlo”, señala, por lo que si los indicadores son buenos, una empresa estará en mejor posición para remediar el problema.
El desarrollo continuo hace la vida más difícil a los potenciales atacantes de dos maneras, detectando antes sus intenciones y reaccionando más rápido para impedirlas, sostiene también este experto.
