Cómo pueden los desarrolladores reforzar la seguridad de los datos con Open Source y PKI

Este artículo fue publicado originalmente por Dataversity el 23 de agosto de 2022.

En la interminable batalla entre el éxito empresarial y las amenazas a la ciberseguridad, las empresas han descubierto un arma secreta. Los desarrolladores, antaño azote de los equipos de seguridad, se están convirtiendo en defensores vitales de la seguridad software. Aprovechando las herramientas de open-source y la infraestructura de clave pública (PKI), muchos desarrolladores están llevando la seguridad de los datos a las fases más tempranas del desarrollo y asumiendo una mayor responsabilidad en las decisiones relacionadas con la seguridad.

La necesidad de una software segura nunca ha sido tan evidente. Con empresas que operan a la velocidad de la nube y nuevas aplicaciones y servicios que se añaden continuamente en los extremos, la superficie de ataque ha crecido. Los actores de las amenazas han aprovechado las oportunidades que ofrece la inseguridad de software para ampliar el alcance y aumentar la eficacia de sus ataques. Por ejemplo, muchos han cambiado el objetivo de los ataques, que han pasado de distribuir malware a comprometer credenciales, y han aprovechado las redes distribuidas para lanzar ataques a la cadena de suministro, como el pirateo de SolarWinds. Y todavía hay que hacer frente a la avalancha de ransomware, inyección SQL, DDoS y otros ataques.

Aunque algunas organizaciones siguen dando más prioridad a la velocidad de desarrollo y despliegue de DevOps que a la seguridad de los datos, cada vez son más las empresas que hacen hincapié en que el negocio requiere una software segura para tener éxito. Y esto comienza con un código seguro. En un mundo en el que todo está conectado pero nada es de confianza, los desarrolladores, junto con las comunidades open-source y PKI de clave pública, pueden ayudar a restaurar una medida de confianza en la integridad de software.

Los equipos de DevOps siempre se han creado para la velocidad. En un entorno empresarial basado en la nube y dependiente de las transacciones en línea y móviles, desarrollar software e introducirlo lo antes posible en el canal de integración continua y entrega continua (CI/CD) suele ser la clave de la competitividad y, por tanto, del éxito.

Pero este enfoque también crea vulnerabilidades, ya que software entra en producción antes de que los equipos de seguridad de datos puedan solucionar cualquier punto débil. El antiguo proceso de muchas organizaciones de incorporar la seguridad después del proceso de desarrollo -a veces incluso después de que software se haya desplegado- a menudo resulta ser demasiado poco y demasiado tarde.

No es que no se conozcan las ventajas de un código seguro. Pero ante la presión del competitivo entorno empresarial, la velocidad ha primado. Ahora, sin embargo, cada vez más desarrolladores le dan prioridad. Y lo hacen con la ayuda de dos elementos que siempre han sido baluartes de la innovación y la seguridad: el desarrollo open-source y la PKI. Juntos, pueden ayudar a mejorar la seguridad del código al tiempo que añaden velocidad al proceso de seguridad.

La comunidad open-source siempre ha estado a la vanguardia de la innovación. Poner a disposición el código fuente e invitar a todos y cada uno de los desarrolladores capaces a colaborar -inspeccionando, modificando y mejorando el código- ha demostrado ser inestimable para crear software rentable y altamente funcional. Se ha utilizado ampliamente para todo, desde la automatización de pruebas hasta una amplia gama de aplicaciones populares open-source software , como GNU/Linux, el sistema operativo Android, el navegador Mozilla Firefox y el servidor web Apache.

El desarrollo de software en un modelo open-source , a diferencia del desarrollo propietario en el que el código fuente se mantiene en secreto, también se ha beneficiado de una especie de seguridad a través de la visibilidad. Aunque open-source software no es inviolable, la transparencia del proceso de desarrollo permite a los programadores descubrir y corregir más fácilmente los errores a medida que surgen.

Open-source Se comparten herramientas de grupos como el Open Web Application Security Project (OWASP), así como de muchas otras organizaciones, para ayudar a desarrollar aplicaciones seguras. Software , por ejemplo Bouncy Castle - una API criptográfica open-source para Java y C#, ligera y con certificación FIPS, permite a los desarrolladores integrar la criptografía en el código de sus aplicaciones, por ejemplo.

También existen herramientas open-source que permiten a los desarrolladores aprovechar al máximo la PKI, que ya es la tecnología de infraestructura más utilizada para la seguridad de los datos, con un conjunto de normas establecidas.

Los equipos confían cada vez más en PKI y en las identidades de las máquinas para crear, entregar y ejecutar aplicaciones de forma segura. PKI, que protege las comunicaciones mediante firmas digitales para autenticar identidades, software y dispositivos, es una herramienta eficaz para incorporar la seguridad a DevOps. Y varias herramientas de open-source pueden ayudar a facilitar el proceso.

EJBCA, por ejemplo, es una autoridad de certificación de open-source que ofrece gestión del ciclo de vida. Ansible, que utiliza YAML fácil de entender, automatiza la instalación y configuración de software, una piedra angular de los entornos DevOps que utilizan la infraestructura como código. Otra herramienta, el servidor de automatización Jenkins, puede automatizar el despliegue de certificados y claves, lo que puede ayudar a desatascar cuellos de botella en una canalización CI/CD.

Los equipos de seguridad de aplicaciones y operaciones confían en la infraestructura de clave pública (PKI) y en las identidades de máquinas para crear seguridad en las aplicaciones. Las herramientas de automatización pueden ayudar a aliviar los cuellos de botella en el proceso CI/CD automatizando la gestión de certificados. Además, la automatización puede ayudar a hacer frente al crecimiento explosivo de las identidades de máquina. Esta categoría incluye dispositivos móviles y IoT conectados, aplicaciones definidas por software, cargas de trabajo en la nube, máquinas virtuales, contenedores e incluso el código que se ejecuta en ellos. Los dispositivos conectados a Internet superan en número a los humanos en más de tres a uno, y siguen multiplicándose. El número de certificados y claves implicados ha crecido junto con ellos, y las herramientas de automatización pueden ayudar a gestionar esas identidades.

En el actual entorno altamente distribuido y conectado, la ciberseguridad es una decisión empresarial; ya no puede operar como una función separada dentro de la empresa. La viabilidad de un negocio requiere confianza, y eso empieza por un código seguro.

La comunidad open-source proporciona a los equipos de DevOps herramientas disponibles, fácilmente adaptables y altamente escalables para permitir un desarrollo seguro desde el principio. El uso de PKI, identidades de máquina y automatización mantiene la seguridad y añade velocidad y eficiencia al proceso.

Al utilizar open-source y las herramientas PKI, los desarrolladores desempeñan un papel más importante y esencial en la creación de seguridad en los cimientos de la empresa moderna. El arma secreta de las empresas siempre ha estado ahí. Ahora están empezando a utilizarla. Por fin, las organizaciones ya no tendrán que elegir entre velocidad, innovación y seguridad.