Con el reciente descubrimiento de varias vulnerabilidades graves en paquetes de desarrollo comunes, la seguridad en el desarrollo de aplicaciones es cada vez más prioritaria para muchos ejecutivos de TI. Acontecimientos como el descubrimiento de vulnerabilidades en Log4j, así como otros vulnerabilidades significativas que se han identificado desde entonceshan obligado a las organizaciones a analizar detenidamente la forma en que llevan a cabo el desarrollo de aplicaciones para mejorar su mentalidad y cultura y, en última instancia, automatizar un enfoque "DevSecOps" de la gestión de cambios de SAP.

DevSecOps es un término relativamente nuevo en el mundo SAP y significa desarrollo, seguridad y operaciones. En el pasado, la seguridad la aplicaba un equipo aislado justo antes de pasar a producción. Este enfoque anticuado es problemático, especialmente para las organizaciones que desean adoptar un enfoque ágil para gestionar su entorno SAP.

La metodología actual de "desplazamiento a la izquierda" hace hincapié en la importancia de identificar los posibles problemas lo antes posible en el ciclo de desarrollo, para poder rectificarlos antes de seguir avanzando. De este enfoque nació la visión de DevSecOps.

DevSecOps hace hincapié en la necesidad de incluir la seguridad desde el principio como parte integrante de todo el ciclo de vida del desarrollo. Requiere integrar las herramientas de seguridad adecuadas en el flujo de trabajo de desarrollo y, a continuación, automatizar el proceso para garantizar que el desarrollo no se ralentice.

Adoptar un enfoque DevSecOps

Una forma de empezar a adoptar un enfoque DevSecOps es invertir en las mejores soluciones de gestión de cambios y cumplimiento de la normativa de seguridad para aumentar los entornos de desarrollo existentes.

En primer lugar, es muy recomendable implantar una herramienta de gestión de cambios que cree un proceso de flujo de trabajo aplicable. Debe ser capaz de gestionar todos los cambios desde su creación en desarrollo, pasando por el complejo proceso de seguridad y pruebas, hasta su publicación final segura en producción.

A continuación, sus equipos necesitan una herramienta automatizada de análisis de código que pueda escanear en profundidad el código SAP en busca de problemas que afecten a la seguridad, el cumplimiento, el rendimiento, la solidez, la capacidad de mantenimiento e incluso la pérdida de datos.

Las mejores prácticas dictan que estas soluciones deben integrarse de forma significativa para racionalizar su utilidad y eficacia, al tiempo que fomentan la adopción por parte de sus equipos. Al crear una solución DevSecOps sin fisuras, sus equipos pueden incorporar la seguridad de forma inconsciente en el propio marco de su proceso de desarrollo.

¿Qué ocurre cuando se integran estas tecnologías en los procesos de desarrollo?

  • La seguridad se integra automáticamente en el proceso de gestión de cambios.
  • Las comprobaciones de seguridad se activan en múltiples puntos del ciclo de desarrollo para garantizar que las vulnerabilidades y los problemas de código se detectan (y solucionan) lo antes posible.
  • Se impide que el código no conforme avance por el paisaje.
  • El proceso de gestión del cambio se simplifica, ya que se recurre automáticamente a la herramienta adecuada en el momento oportuno.
  • Los responsables de CAB y de producto pueden aprobar con confianza las versiones de producción, sabiendo que los cambios han sido sometidos a un riguroso proceso de control de seguridad.

La solución Rev-Trac / Onapsis

Rev-Trac ha formado recientemente una asociación estratégica con Onapsis, el socio elegido por SAP para la ciberseguridad, para ofrecer al mercado una solución SAP DevSecOps integrada, la mejor de su clase. Esta integración con los productos insignia de Onapsis, Control for Code y Control for Transports, utiliza un enfoque de "desplazamiento a la izquierda" para identificar vulnerabilidades de seguridad y problemas de código antes de que los transportes se liberen del sistema de desarrollo.

Como parte del flujo de trabajo de desarrollo, Rev-Trac pasará automáticamente objetos y transportes a Onapsis Control para un análisis en profundidad y luego esperará un resultado. Si el resultado es positivo, Rev-Trac continúa con su flujo de trabajo. Sin embargo, si el resultado es negativo, se impedirá el progreso de los transportes hasta que los desarrolladores hayan rectificado los problemas.

Para los equipos SAP que adoptan esta solución integrada, las ventajas son numerosas e incluyen:

  • Las vulnerabilidades de seguridad se detectan automáticamente en el desarrollo mucho antes de que puedan causar daños en el sistema de producción;
  • Los informes de seguridad instantáneos suponen una rápida resolución de problemas en el desarrollo;
  • La agilidad y la seguridad van ahora de la mano a la hora de introducir cambios en SAP;
  • Los CAB pueden estar tranquilos sabiendo que todo el código ha sido examinado en busca de vulnerabilidades de seguridad.
  • El ROI de todo el conjunto de herramientas de desarrollo se maximiza gracias a las capacidades de flujo de trabajo personalizables y aplicables de Rev-Trac.

 

Más información sobre Onapsis

Onapsis protege las aplicaciones críticas para la empresa que hacen funcionar la economía mundial. La oferta de ciberseguridad de la empresa, The Onapsis Platform, ofrece de forma única gestión de vulnerabilidades, detección y respuesta a amenazas, pruebas de seguridad de aplicaciones y cumplimiento continuo para aplicaciones críticas de negocio de proveedores líderes como SAP, Oracle y otras plataformas SaaS.

Su tecnología se nutre de la inteligencia sobre amenazas y los conocimientos de Onapsis Research Labs, el equipo responsable del descubrimiento y la mitigación de más de 800 vulnerabilidades de día cero en aplicaciones críticas para las empresas.