Ruta DevSecOps, recomendaciones para empezar en 2025
Ahora sí, la parte más soicitada. ¿Cómo llegar a ser un devops o devsecops en 2025? ¿Qué tecnologías aprender? ¿Qué camino seguir?
Recuerda que esta es la parte 2 y en este primer capítulo te contaba mi historia personal de como llegué yo a este punto. Entrada del blog
Por último, matizar que esta es una opinión personal. Cada uno podría tener su propio camino y su propia forma de aprender.
Vamos a ver, una breve introducción a lo que es DevOps, luego veremos las tecnologías básicas para empezar y, por útlimo, hablaremos de los métodos de aprendizaje, certificaciones y demás.
Este es el diagrama que he creado para resumir las tecnologías y conceptos básicos que deberías conocer para empezar en DevSecOps. Lo puedes descargar y utilizar como guía de estudio.
¿Qué es DevOps?
DevOps es una metodología que busca mejorar la colaboración entre los equipos de desarrollo (Dev) y operaciones (Ops) para acelerar la entrega de software y mejorar la calidad del mismo. Se basa en la automatización, la integración continua y la entrega continua (CI/CD), así como en la monitorización y el feedback constante.
Esto permite a las organizaciones responder más rápidamente a las necesidades del mercado y a los cambios en los requisitos de los clientes.
¿Qué es DevSecOps?
DevSecOps es una metodología que integra la seguridad en el ciclo de vida del desarrollo de software (SDLC). Su objetivo es garantizar que la seguridad sea una parte integral del proceso de desarrollo, en lugar de ser un añadido posterior. Esto implica la colaboración entre equipos de desarrollo, operaciones y seguridad para identificar y abordar vulnerabilidades desde las primeras etapas del desarrollo.
Tecnologías y conceptos básicas para empezar
De la parte más personal extraido los siguientes perfiles, más o menos, por los que he ido pivotando:
-> Desarrollador web y aprendiz de seguridad -> Pentester -> SSDLC -> DevOps -> DevSecOps
En base a mi experiencia actual, creo que la forma más rápida para llegar a este tipo de perfil sería ir directo a un rol DevOps y, con un poco de experiencia, añadir la parte de seguridad. También en función de las empresas que trabajes, igual esperan de ti un rol que vaya más a la parte de infraestructura cloud y apoyar la parte de IaC (Infrastructure as Code) o como SRE (Site Reliability Engineer) si tienes un perfil más de sysadmin.
En cualquier caso, si te interesa también la seguridad (desde la perspectiva DevSecOps) verás que a corto, es tan simple como aprender a integrar herramientas de seguridad en los pipelines aunque, a largo plazo, si te toca gestionar las vulnerabilidades, planes de remediación, etc. tendrás que tener un conocimiento de seguridad más profundo.
Vamos a comenzar por el desglose del rol de DevOps.
DevOps
El rol de DevOps es un perfil que ha ido evolucionando en los últimos años y que, en la actualidad, se ha convertido en uno de los más demandados en el sector tecnológico. Estos serían los conocimientos básicos que deberías tener para empezar:
- Lenguajes de programación
- Git
- CI/CD
- Contenedores
- Monitorización
DevSecOps y SSDLC
El rol de DevSecOps es una evolución del rol de DevOps, que integra la seguridad en el ciclo de vida del desarrollo de software. Para este rol, además de los conocimientos básicos de DevOps, deberías tener conocimientos en Seguridad en el Desarrollo de Software (SSDLC), que incluye:
- Threat Modeling
- SAST
- SCA
- DAST
- RASP
También es importante tener conocimientos de seguridad en áreas específicas como:
- Seguridad en la nube
- IAM (Identity and Access Management)
- Seguridad en contenedores
- Seguridad en APIs y microservicios
Certificaciones
Haré otro capítulo específico para hablar de certificaciones y entorno académico, ¡no olvides suscribirte!