in

DevSecOps: superando la brecha entre seguridad y desarrollo


En la última conferencia Security @ de HackerOne en 2021, hablamos con Mike Hanley, CSO de GitHub. Como empresa que valora la seguridad al tiempo que brinda servicios a decenas de millones de desarrolladores en todo el mundo, GitHub ha pasado años incorporando la seguridad en los flujos de trabajo de desarrollo. Durante una charla junto a la chimenea, Mike explicó el enfoque de GitHub para DevSecOps y lo que las empresas pueden hacer para mejorar la seguridad del código desarrollado internamente.

A continuación se muestra un resumen de la discusión.

Cambiar el descriptor de seguridad

En el pasado, la seguridad se consideraba un bloqueador: una serie de obstáculos que los desarrolladores debían superar para publicar algo. Este pensamiento puede dañar la ventaja competitiva de las empresas que dependen de los lanzamientos de productos.

Mike cree que esta situación surgió porque los equipos de seguridad «no se reunieron con los desarrolladores donde estaban».

GitHub pone a los desarrolladores primero. La compañía se enfoca en crear experiencias únicas para desarrolladores, incluida la creación de herramientas y procesos diseñados para desarrolladores. GitHub hace esto proporcionando comentarios y alertas de seguridad dentro de la plataforma GitHub, tanto para los desarrolladores de la empresa como para los clientes de su plataforma. Este proceso permite a los desarrolladores centrarse únicamente en el desarrollo de software y, al mismo tiempo, obtener la información que necesitan para garantizar un código seguro.

El papel de los piratas informáticos en DevSecOps

GitHub tiene un ciclo de vida de desarrollo de software maduro que incluye muchos componentes de seguridad, que incluyen:

  • Procesos de admisión para revisiones de seguridad
  • Profesionales de seguridad que trabajan con ingenieros en todo el SDLC
  • Análisis de código estático
  • Equipo rojo interno
  • Sesiones de modelado de amenazas

La compañía diseñó estos componentes para que encajen perfectamente en sus flujos de trabajo de desarrollo y los ha perfeccionado a lo largo de los años. Sin embargo, GitHub cree que un programa DevSecOps realmente destacado requiere un componente adicional: piratas informáticos éticos.

GitHub ha tenido un programa público de recompensas por errores durante siete años, lo que lo convierte en uno de los programas más antiguos de la plataforma HackerOne. La empresa paga una serie de recompensas en función de la naturaleza de los problemas informados y realiza evaluaciones comparativas periódicas con los competidores para garantizar que sus recompensas y la estructura del programa se encuentren entre las más competitivas de la industria.

Los piratas informáticos éticos no están influenciados por la mentalidad y los objetivos internos de GitHub. Aportan nuevas perspectivas, experiencias, habilidades y conocimientos que han perfeccionado a lo largo de sus carreras y a través de contribuciones a otros programas de recompensas por errores. Estas competencias les permiten brindar información que el equipo de seguridad interno y los controles de GitHub pueden pasar por alto.

Mike describe a Hacker como «un socio integrado de nuestro éxito desde la perspectiva de la seguridad del producto», lo que explica por qué GitHub pagó más de medio millón de dólares en recompensas en 2020 por más de 200 vulnerabilidades.

Explica que el programa aporta información valiosa sobre seguridad en el proceso de desarrollo de GitHub en un formato y ubicación que se adapta bien a las prácticas de desarrollo de la empresa. GitHub valora el programa porque proporciona una fuente de datos de seguridad fuera de los propios procesos y controles internos de la empresa.

«[The program] fue muy valioso porque nos mantuvo honestos y nos ayudó a llenar los vacíos. Es parte del enfoque integral que tenemos aquí en GitHub para el ciclo de vida del desarrollo de software «.

Mike Hanley CSO, GitHub

Soporte de DevSecOps con recompensa de errores

Proporcionar una fuente imparcial de información de seguridad tiene claros beneficios para el envío de código seguro y eficaz. Para maximizar el valor de su programa de recompensas por errores, el equipo de Mike también se está enfocando en aprovechar los envíos para conocer otras categorías de errores que pueden corregir en la base de código de GitHub. Por ejemplo, si una vulnerabilidad en particular se informa varias veces, el equipo puede implementar nuevos controles que identifiquen vulnerabilidades similares en una etapa anterior del proceso de desarrollo.

GitHub va un paso más allá y complementa su programa público de recompensas por errores con programas privados para respaldar ciertos lanzamientos de productos.

En 2020, GitHub lanzó su herramienta Codespaces como un producto comercial y utilizó un programa privado de recompensas por errores para respaldar sus prácticas internas de DevSecOps. La compañía invitó a 24 de sus principales asistentes a las recompensas por errores a probar el producto antes del lanzamiento. GitHub le dio al equipo la libertad de explorar el producto, pero ejecutó las pruebas proporcionando incentivos adicionales para las vulnerabilidades en áreas específicas.

«El programa fue una excelente manera de revisar nuestro trabajo y la efectividad de nuestros procesos de seguridad interna», explica Mike. «Proporcionó pensamiento externo y perspectivas de la talentosa comunidad de recompensas con la que trabajamos».

Cómo trabajar con piratas informáticos

Mike enfatiza la importancia de establecer relaciones a largo plazo con los piratas informáticos para aprovechar al máximo un programa de recompensas por errores.

GitHub opera uno de los programas de recompensas por errores más receptivos de la industria, examina las vulnerabilidades reportadas dentro de las 24 horas y garantiza que las recompensas se paguen lo más rápido posible. Esta atención ayuda a los piratas informáticos a tener una experiencia positiva al trabajar con la empresa y querer hacerlo a largo plazo. En 2020, GitHub lanzó un equipo dedicado para respaldar su programa de recompensas por errores.

“A medida que nuestro programa crece, la mejor manera en que podemos brindar una gran experiencia a nuestros socios de piratería es cuando tienen un equipo dedicado y consistente con el que construir relaciones y desarrollar una comprensión común de los patrones en los envíos. Nos enorgullecemos de centrarnos en el desarrollador y el cliente, y queremos adoptar el mismo enfoque cuando tratamos con piratas informáticos, ya que son una adición muy importante a nuestro equipo «.

Para las organizaciones que sienten curiosidad por la recompensa de errores, es importante tener una estrategia para mantener un programa a lo largo del tiempo. Se necesita tiempo para construir relaciones y brindar a los participantes del programa una experiencia valiosa. De lo contrario, las empresas pueden tener dificultades para hacer frente al volumen de envíos, lo que hace que los piratas informáticos sientan que no se valora su tiempo, lo que socava las relaciones con los piratas informáticos y reduce el éxito de los programas.

Con una estrategia sólida, las empresas pueden evitar estos obstáculos y obtener el máximo beneficio de su programa de recompensas por errores: un flujo constante de presentaciones de alta calidad que mejoran los resultados de seguridad para la empresa, sus desarrolladores y sus clientes.

“Para nosotros, cada miembro de nuestra comunidad de desarrolladores es un beneficiario de este trabajo. Si recién está comenzando con Bug Bounty y se pregunta cómo preparar su programa para el éxito, su prioridad debe ser alentar la participación repetida en el programa «.

Refina tu programa de seguridad con piratas informáticos

Los piratas informáticos son el secreto mejor guardado de la ciberseguridad. Independientemente de su función o industria, Security @ ofrece una sesión virtual para ayudarlo a refinar su programa de seguridad y reducir los riesgos cibernéticos al trabajar con la comunidad global de hackers. Registrar aquí para ver las sesiones bajo demanda.

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Se une el exdirector adjunto de la NSA, William Crowell [redacted] La Junta Directiva

Por qué las pruebas de seguridad por sí solas no son suficientes