Integración de prácticas de seguridad en todo el ciclo de vida del desarrollo de software, automatizando controles de seguridad en el pipeline de CI/CD.
DevSecOps integra la seguridad como parte del proceso de desarrollo, no como un gate al final. «Shift left» significa mover los controles de seguridad lo más temprano posible en el ciclo de desarrollo.
El modelo tradicional — desarrollar primero, auditar seguridad al final — no escala. Cuando un equipo hace 50 deploys por semana, no puede esperar una revisión manual de seguridad para cada uno. DevSecOps automatiza esos controles para que la seguridad viaje a la misma velocidad que el desarrollo.
El costo de corregir una vulnerabilidad crece exponencialmente con el tiempo: arreglarla en código cuesta minutos, en producción puede costar millones.
| Etapa | Controles |
|---|---|
| Código | SAST, secrets scanning, dependency check |
| Build | Container scanning, SBOM |
| Test | DAST, penetration testing |
| Deploy | Policy as code, admission control |
| Runtime | WAF, anomaly detection, RASP |
| Categoría | Qué detecta | Herramientas | Cuándo ejecutar |
|---|---|---|---|
| SAST | Vulnerabilidades en código fuente | Semgrep, SonarQube, CodeQL | En cada PR |
| SCA | Dependencias vulnerables | Snyk, Dependabot, Trivy | En cada PR + diario |
| Secrets | Credenciales en el código | GitLeaks, TruffleHog | Pre-commit + CI |
| Container | Vulnerabilidades en imágenes | Trivy, Grype | En build de imagen |
| DAST | Vulnerabilidades en runtime | OWASP ZAP, Burp Suite | En staging |
Cultura y conjunto de prácticas que unifican desarrollo (Dev) y operaciones (Ops) para entregar software con mayor velocidad, calidad y confiabilidad. No es un rol — es una forma de trabajar.
Continuous Integration y Continuous Delivery/Deployment — prácticas que automatizan la integración de código, testing y entrega a producción. Fundamento de la ingeniería de software moderna.
Prácticas para asegurar la integridad y seguridad de todas las dependencias, herramientas y procesos que componen el pipeline de desarrollo de software.
Proceso automatizado de identificar vulnerabilidades conocidas en código, dependencias, contenedores e infraestructura antes de que lleguen a producción.
Prácticas de desarrollo que previenen vulnerabilidades de seguridad desde el diseño, incluyendo validación de inputs, manejo de errores y principios de defensa en profundidad.
Prácticas y herramientas para asegurar contenedores en todo su ciclo de vida: construcción de imágenes, runtime, orquestación y cumplimiento.