DevSecOps - En el meollo de las cosas en lugar de sólo estar ahí

Recordamos: Con la charla "10+ Deploys per Day: Dev and Ops Cooperation", Flickr inició un importante replanteamiento de los procesos de desarrollo en 2009.

En aquella época, el desarrollo y las operaciones estaban estrictamente separados y se entregaba un producto "acabado" a los equipos de operaciones al final del proceso de desarrollo. Los errores que sólo se manifestaban en las operaciones se comunicaban al equipo de desarrollo, que los corregía fuera del entorno de operaciones.

Esta metodología, que consume mucho tiempo, ha demostrado ser un cuello de botella y un asesino de la innovación, especialmente en el ámbito del desarrollo de aplicaciones web. Con DevOps, los desarrolladores y las operaciones deben estar ahora en el mismo barco y asumir las actualizaciones en unidades más pequeñas y ciclos mucho, mucho más cortos en el entorno productivo ("deploy").

Para ello, muchas tareas se automatizan en la medida de lo posible y se ejecutan continuamente en segundo plano. Así, los errores se detectan y solucionan antes. Todo el proceso, desde el desarrollo hasta la explotación, debe ser literalmente más "ágil" y, por tanto, más rápido.

Según el "DevOps Trend Study 2017", solo algo más de la mitad de las empresas en Alemania utilizan DevOps, y en muchos casos todavía se encuentran en la primera fase, la implementación real de DevOps.

En el entorno SAP, que tradicionalmente está mucho más segmentado (SO/centro de datos, BD, Basis, aplicación), esta cifra es probablemente mucho menor. Después de todo, el adagio "nunca toques un sistema en ejecución" se aplica con mucha más fuerza a las aplicaciones de misión crítica que a otras aplicaciones web.

Además, muchos de los conceptos de DevOps, como la integración continua y las pruebas unitarias automatizadas, son difíciles de integrar en los procesos de desarrollo tradicionales de SAP. Así pues, DevOps -incluso antes de que haya llegado realmente al entorno SAP- ya se ha quedado obsoleto de nuevo o más bien se ha complementado.

Porque si la seguridad se convierte en un criterio para el funcionamiento de las aplicaciones y, al igual que antes los defectos funcionales, tiene el potencial de devolver los resultados del proceso ágil DevOps a la mesa de dibujo, entonces la seguridad también debe integrarse en el proceso de desarrollo en una fase temprana.

Este es precisamente el enfoque que adopta DevSecOps. A los expertos en seguridad no se les debe confiar la seguridad del producto acabado "desde fuera", por así decirlo, sino que deben identificar las lagunas que pueden convertirse en problemas de seguridad durante el funcionamiento "aguas arriba", es decir, en las primeras fases del ciclo de vida de desarrollo del software, y prevenirlas, idealmente mediante un código mejor y más seguro.

Incluso si algunos conceptos de DevOps no pueden transferirse uno a uno al desarrollo SAP, el hecho es que muchas de las notas de seguridad "críticas" o incluso "noticias candentes" de los últimos años podrían haberse evitado integrando sistemáticamente la seguridad en el proceso de desarrollo. Lo mismo se aplica, por supuesto, a la media de dos millones de líneas de código personalizado que existen en los sistemas SAP productivos.

Las herramientas que hacen posibles muchos de los enfoques ágiles de DevSecOps en primer lugar son numerosas en el área de SAP: desde herramientas excelentemente integradas para el análisis estático de código, pruebas estáticas de seguridad de código (SAST) hasta la automatización de pruebas de soluciones empaquetadas.

Estas herramientas y la cooperación continua y la capacidad intelectual combinada de los desarrolladores de SAP, los expertos en seguridad y los equipos de operaciones conducen inevitablemente a evitar muchos errores de seguridad evidentes en el código personalizado. La seguridad se incorpora al código en lugar de imponerse desde fuera.

Teniendo en cuenta el coste medio de un incidente de seguridad SAP, que según un estudio del Ponemon Institute es de 4,5 millones de dólares estadounidenses, la motivación por parte de las empresas para aplicar los conceptos DevSecOps al desarrollo de aplicaciones SAP debería ser, por tanto, elevada.

Pero, ¿quizá sólo falta la palabra de moda adecuada? En ese caso, me gustaría lanzar DevSecSAPOps al ruedo.