Automatizar la seguridad, detectar vulnerabilidades de forma temprana, no aceptar altas tasas de falsos positivos, emplear software de análisis de composición y enfatizar en las necesidades de los desarrolladores son las claves para conseguir el desarrollo en las operaciones, con éxito, lo que conocemos con DevSecOps.
Desde Veracode aseguran que con la primera se podrá identificar fallos al inicio del ciclo de vida del código y acelerar una entrega segura del mismo.
En el apartado de la detección de vulnerabilidades de forma temprana, esta detección de vulnerabilidades en el código requiere, según la compañía, el uso de complementos en el entorno de desarrollo integrado que aporten información inmediata y sirvan de guía a medida que se vayan detectando las brechas, cambiando la seguridad para responder rápidamente en el ciclo de vida del desarrollo.
Fundamental también mantener a un nivel bajo los falsos positivos. Esto permitirá que los equipos confíen en que las herramientas de seguridad empleadas no supongan un trabajo extra, eliminando la “fatiga de alerta” y mejorando la eficiencia y los tiempos de respuesta ante incidentes.
La cuarta pata pasa por emplear software de análisis de composición que escanee aplicaciones completas de código abierto, con el fin de garantizar que los equipos de desarrollo no incluyan involuntariamente código con vulnerabilidades conocidas. Este análisis también permite crear un inventario de los componentes que se están utilizando. Esto facilita localizarlos y actualizarlos cuando se descubre una vulnerabilidad.
Y, por último, enfatizar en las necesidades de los desarrolladores porque ellos pueden solucionar las brechas de seguridad. Aunque desde Veracode recuerdan que muchos equipos de seguridad no tienen banda ancha para autorizar a los desarrolladores y esto impide reducir el riesgo o la deuda de seguridad con facilidad o minimizar la acumulación de fallos sin resolver.
Alejandro Novo, director de Veracode en España, Portugal e Italia, asegura que los mejores programas AppSec permiten a los desarrolladores realizar feedback de seguridad en el IDE en segundos; proporcionar recomendaciones sobre cómo solucionar fallos, al tiempo que los encuentran; dar asesoramiento automatizado; hacer revisiones del código con expertos en codificación segura; capacitar a los desarrolladores en seguridad; y crear programas de campeones de seguridad.
