Saltar al contenido principal

7 publicaciones etiquetados con "seguridad"

Ver Todas las Etiquetas

Ruta DevSecOps, recomendaciones para empezar en 2025

· 4 min de lectura
Pablo Pérez-Aradros
CISO SecDevOps @ Santander Group

Ahora sí, la parte más soicitada. ¿Cómo llegar a ser un devops o devsecops en 2025? ¿Qué tecnologías aprender? ¿Qué camino seguir?

Recuerda que esta es la parte 2 y en este primer capítulo te contaba mi historia personal de como llegué yo a este punto. Entrada del blog

Por último, matizar que esta es una opinión personal. Cada uno podría tener su propio camino y su propia forma de aprender.

Vamos a ver, una breve introducción a lo que es DevOps, luego veremos las tecnologías básicas para empezar y, por útlimo, hablaremos de los métodos de aprendizaje, certificaciones y demás.

Este es el diagrama que he creado para resumir las tecnologías y conceptos básicos que deberías conocer para empezar en DevSecOps. Lo puedes descargar y utilizar como guía de estudio. DevSecOps Roadmap 2025

¿Qué es DevOps?

DevOps es una metodología que busca mejorar la colaboración entre los equipos de desarrollo (Dev) y operaciones (Ops) para acelerar la entrega de software y mejorar la calidad del mismo. Se basa en la automatización, la integración continua y la entrega continua (CI/CD), así como en la monitorización y el feedback constante.

Esto permite a las organizaciones responder más rápidamente a las necesidades del mercado y a los cambios en los requisitos de los clientes.

¿Qué es DevSecOps?

DevSecOps es una metodología que integra la seguridad en el ciclo de vida del desarrollo de software (SDLC). Su objetivo es garantizar que la seguridad sea una parte integral del proceso de desarrollo, en lugar de ser un añadido posterior. Esto implica la colaboración entre equipos de desarrollo, operaciones y seguridad para identificar y abordar vulnerabilidades desde las primeras etapas del desarrollo.

Tecnologías y conceptos básicas para empezar

De la parte más personal extraido los siguientes perfiles, más o menos, por los que he ido pivotando:

-> Desarrollador web y aprendiz de seguridad -> Pentester -> SSDLC -> DevOps -> DevSecOps

En base a mi experiencia actual, creo que la forma más rápida para llegar a este tipo de perfil sería ir directo a un rol DevOps y, con un poco de experiencia, añadir la parte de seguridad. También en función de las empresas que trabajes, igual esperan de ti un rol que vaya más a la parte de infraestructura cloud y apoyar la parte de IaC (Infrastructure as Code) o como SRE (Site Reliability Engineer) si tienes un perfil más de sysadmin.

En cualquier caso, si te interesa también la seguridad (desde la perspectiva DevSecOps) verás que a corto, es tan simple como aprender a integrar herramientas de seguridad en los pipelines aunque, a largo plazo, si te toca gestionar las vulnerabilidades, planes de remediación, etc. tendrás que tener un conocimiento de seguridad más profundo.

Vamos a comenzar por el desglose del rol de DevOps.

DevOps

El rol de DevOps es un perfil que ha ido evolucionando en los últimos años y que, en la actualidad, se ha convertido en uno de los más demandados en el sector tecnológico. Estos serían los conocimientos básicos que deberías tener para empezar:

  • Lenguajes de programación
  • Git
  • CI/CD
  • Contenedores
  • Monitorización

DevSecOps y SSDLC

El rol de DevSecOps es una evolución del rol de DevOps, que integra la seguridad en el ciclo de vida del desarrollo de software. Para este rol, además de los conocimientos básicos de DevOps, deberías tener conocimientos en Seguridad en el Desarrollo de Software (SSDLC), que incluye:

  • Threat Modeling
  • SAST
  • SCA
  • DAST
  • RASP

También es importante tener conocimientos de seguridad en áreas específicas como:

  • Seguridad en la nube
  • IAM (Identity and Access Management)
  • Seguridad en contenedores
  • Seguridad en APIs y microservicios

Certificaciones

Haré otro capítulo específico para hablar de certificaciones y entorno académico, ¡no olvides suscribirte!

Secretos en Docker y mejores prácticas

· 6 min de lectura
Pablo Pérez-Aradros
CISO SecDevOps @ Santander Group

Utilizar secretos en Docker de forma correcta, te permite asegurar que tu datos sensibles se almacenen de forma segura y solo sean accesibles por las aplicaciones que los necesitan. Docker proporciona varios mecanismos para gestionar secretos peeeero, según lo que necesites, puede ser que lo tengas que combinar con servicios de terceros.

En este video podcast con Felipe Cruz del equipo de Docker (TECHarlas 3 - Supply chain and security on containers) tratamos el tema entre otros much, por si te interesa. En cualquier caso, llegamos a la conclusión de que no existe el método perfecto, por eso, lo más importante es conocer las opciones que tenemos y elegir las más adecuadas en función del contexto. Aun así, quédate hasta el final del vídeo donde explico el método más recomendado para la mayoría de situaciones y como mitigar los riesgos en la medida de lo posible.

Gitleaks, detecta secretos en tu repositorio de git

· 5 min de lectura
Pablo Pérez-Aradros
CISO SecDevOps @ Santander Group

En el desarrollo de software moderno, Git se ha convertido en la herramienta fundamental para la gestión de versiones de código. Sin embargo, con su uso, surge un problema crítico de seguridad: la exposición accidental de secretos como tokens, claves API, contraseñas o claves SSH dentro de los repositorios. Esto puede abrir la puerta a ataques graves si estos secretos son filtrados y accedidos públicamente. Afortunadamente, herramientas como Gitleaks pueden ayudarnos a prevenir esta situación, ofreciendo una capa adicional de seguridad, tanto en entornos locales como en los procesos de CI/CD (integración y entrega continua).

Gitleaks, detecta secretos en tu repositorio de git