Ponencia
Antonio Calero y Oscar Moreno
DevSecOps con SonarQube. Cómo mejorar la calidad y seguridad de tu código
Con todas las amenazas ocultas ahí fuera, la seguridad de las aplicaciones sigue siendo un tema prioritario. A pesar de esa preocupación, el número de violaciones de seguridad continúa aumentando junto con el número de cuentas comprometidas que contienen datos de usuarios. ¿Por qué sucede esto incluso con todo el énfasis aplicado en mejorar la seguridad? ¡La respuesta simple es que no es fácil! El desafío es mejorar la seguridad sin interrumpir la integración continua existente o ralentizar la velocidad de entrega. Reducir las vulnerabilidades en las aplicaciones requiere dedicación, persistencia y un plan de acción efectivo.
Con tal de incrementar el alcance en cuanto a seguridad, SonarQube anunció un nuevo tipo de evidencia, los Security Hotspots. Estas evidencias son un paso previo a las evidencias de tipo vulnerabilidad - creando así una doble capa o filtro para asegurar la seguridad de las aplicaciones. Un experto en seguridad evaluará los Security Hotspots detectados con el fin de determinar si se tratan efectivamente de vulnerabilidades que pongan en peligro la seguridad.
Pero además de este nuevo tipo de evidencias, también encontramos un nuevo tipo de informes mucho más amigables con los desarrolladores y que cumplen con los estándares OWASP Top 10 y Sans Top 25.
Cuando empiezas a corregir vulnerabilidades de seguridad y revisas Security Hotspots, estás creando un proceso de ciclo de vida de desarrollo de software seguro (S-SCLD).
En la práctica, este enfoque tiene varios beneficios:
* Puede mantenerse en el tiempo. No es una solución cortoplazista a un problema futuro.
* No afecta, ni interrumpe en tu proceso de desarrollo
* No te arruinarás
La recompensa de un enfoque de S-SCLD es ahorrar un tiempo y dinero considerables, al detectar problemas en las primeras fases del proceso.