El mito anterior plantea la siguiente duda: ¿cómo podemos incorporar de manera eficaz la seguridad a un proceso DevOps? El equipo de seguridad siempre tendrá competencias por encima de las responsabilidades de los equipos de DevOps y estos no aceptarán fácilmente ningún proceso que les retrase. La clave reside en que el equipo de seguridad involucre al de DevOps en la mejora de la seguridad y la adapte a sus métodos existentes, empleando las herramientas que los equipos de DevOps ya utilizan.
Ejemplos de buenas prácticas en seguridad para los equipos de DevOps
Por ejemplo, si usan Jenkins para el CI/CD, el equipo de seguridad puede establecer una medida de control que avise cuando una imagen no cumpla con la política de seguridad y explique por qué. El equipo de DevOps debería poder ver la imagen fallida desde Jenkins y comprobar, dentro de este, cómo se podría arreglar el problema y crear una imagen homologada. En este ejemplo, el equipo de seguridad ha sido capaz de educar al de DevOps y acortar el tiempo de reparación sin imponer sus propios procesos y conocimientos, sino mediante la integración de una solución de seguridad nativa en la nube en una herramienta de DevOps. Este mismo método también puede utilizarse para bloquear el avance de esas imágenes en el proceso, pero siempre es mejor un aviso a tiempo que un bloqueo.
Este mito se abordó en la comunidad de seguridad cloud durante la entrevista con uno de los responsables de devsecops en ManoMano:
