Servicios Formación TI
Seguridad en el ciclo de Desarrollo de Software SSDLC by FTI
Para nadie de los que trabajan con software o se relacionan con este es un misterio que el desarrollo de software es una industria competitiva y vertiginosa. El cambio afecta la viabilidad de un proyecto, la seguridad afecta la historia de valor de la solución si no se considere desde el principio, los supuestos del mercado requieren validación y el progreso del proyecto debe sincronizarse constantemente con los objetivos comerciales cambiantes.
El advenimiento de DevOps y DevSecOps a gatillado inquietantes cambios en este agitado mundo del desarrollo.
Hay un gran numero de entidades de formación que viendo la oportunidad comercial promueven devops, CI/CD, SRE como si fuera la panacea sin embargo se detecta ausencia del uso concreto de conceptos primero, y herramientas después, que realmente cubran las flaquezas de seguridad del desarrollo de software actual.
Por otra parte si sumamos que el software open source es la base del desarrollo actual donde se bajan millones y millones de líneas de código de fuente que no son validadas, ni se sabe su composición, solo se aplica el principio de "uberrima fide" (máxima buena fe) el panorama sigue siendo inquietante en el SDLC.
Suena duro, pero es verdad veamos algunos ejemplos:
- Arman un proyecto base de spring boot, y solo confían en sus dependencias a ojos cerrados. (pom ciegos)
- Bajan imágenes de docker hub asumiendo que vienen del paraíso (imágenes ciegas).
- Incorporan a los pipelines líneas de código groovy sin reparar cual es su origin (pipeline ciegos) esperando que sonarqube les resuelva todos los problemas.
- OWASP ZAP el mesías
Para lo anterior, afirman los mas confiados, ya hay respuestas SAST, SCA, DAST etc pero eso ya es tarde, antes del CI el atacante ya pudo haber visitado tu estación de de trabajo, si no crees, lee el caso de Solwarwins.
En este lindo, agitado, competitivo y maravilloso mundo del desarrollo de software las soluciones están ahí, solo hay que hacer uso de ellas si quieres que tu organización respalde las historia de valor, te apoyamos generando habilitadores y apoyando cambios culturales en:
- DevSecOps
- Código Firmado End to End
- SBOM - Software Bill Of Materials
- NIST SDF
- SLSA
- Hardening de Imágenes y contenedores
Cualquiera sea el objetivo estratégico, para lograrlo debe asegurar la información y la manera de como ésta se usa, generando mas confianza al cliente, al accionista y a la sociedad..
Cursos Personalizados
Adaptamos nuestros cursos a los requerimientos específicos del cliente, de esta manera nos hacemos parte de su propia historia de valor.
- SBOM Workshop - seguridad SDLC.
- Image Hardening Workshop
- Service Mesh fundamentals
- Container Security
- Kubernetes Security
- DevSecOps en la práctica
Maestrías TI
Buscamos desarrollar los conocimientos de nuestros alumnos para la generación de soluciones para problemas profesionales.
Ver cursosNuestra modalidad de cursos es 100% presencial, lo que nos obliga a tener un compromiso mayor con el alumno que viene a nuestras instalaciones, de manera que al terminar cada actividad éste pueda usar lo aprendido sin temor, sin dudas y con menos riesgos para mejorar la cadena de valor digital de su empresa.