En resumen, DevSecOps es una cultura y una mentalidad basada en la idea de que todos son responsables de la seguridad, con el objetivo de distribuir las decisiones de seguridad a velocidad y escala dentro de un modelo ágil de DevOps a aquellos que tienen el más alto nivel de contexto, sin sacrificar la seguridad requerida.
De manera muy similar a como DevOps fusiona la codificación, la construcción y las pruebas con las funciones de operaciones de liberación, despliegue y supervisión de sistemas, DevSecOps tiene capas de evaluación de riesgos, modelado de amenazas, pruebas de penetración, revisión de códigos y validación de cumplimiento para garantizar que la seguridad esté estrechamente alineada con los procesos y objetivos comerciales. Hace que las prácticas de seguridad sean repetibles, coherentes e integradas en el desarrollo de principio a fin.
En un escenario ideal, una organización con mentalidad de DevSecOps que funcione perfectamente sería transparente, alineada, de alto rendimiento y con lanzamientos rápidos. Pero en la práctica, alinear estas tres organizaciones puede ser difícil. Tradicionalmente, la mayoría de los dev, ops o DevOps ven a los equipos de seguridad como un obstáculo, un retraso para sacar el código por la puerta. Y por otro lado, muchas organizaciones de seguridad tienen poco personal en relación con los equipos de desarrollo o utilizan metodologías muy anticuadas que se centran en priorizar la reactividad sobre la proactividad. El resultado es que cuando estas dos o tres organizaciones se unen, pueden carecer de contexto sobre las prioridades de cada una, lo que puede llevar a una mala comunicación.
Por suerte, DevSecOps es una mejor manera, pero se necesita un compromiso.
Para ello, aquí hay cinco pasos críticos para integrar DevSecOps en su organización, con consejos útiles que se combinan para hacer una especie de «Manifiesto de DevSecOps».