DevSecOps
Integración de prácticas de seguridad en todo el ciclo de vida del desarrollo de software, automatizando controles de seguridad en el pipeline de CI/CD.
¿Qué es?
DevSecOps integra la seguridad como parte del proceso de desarrollo, no como un gate al final. «Shift left» significa mover los controles de seguridad lo más temprano posible en el ciclo de desarrollo.
¿Por qué importa?
El modelo tradicional — desarrollar primero, auditar seguridad al final — no escala. Cuando un equipo hace 50 deploys por semana, no puede esperar una revisión manual de seguridad para cada uno. DevSecOps automatiza esos controles para que la seguridad viaje a la misma velocidad que el desarrollo.
El costo de corregir una vulnerabilidad crece exponencialmente con el tiempo: arreglarla en código cuesta minutos, en producción puede costar millones.
Seguridad en cada etapa
| Etapa | Controles |
|---|---|
| Código | SAST, secrets scanning, dependency check |
| Build | Container scanning, SBOM |
| Test | DAST, penetration testing |
| Deploy | Policy as code, admission control |
| Runtime | WAF, anomaly detection, RASP |
Herramientas
| Categoría | Qué detecta | Herramientas | Cuándo ejecutar |
|---|---|---|---|
| SAST | Vulnerabilidades en código fuente | Semgrep, SonarQube, CodeQL | En cada PR |
| SCA | Dependencias vulnerables | Snyk, Dependabot, Trivy | En cada PR + diario |
| Secrets | Credenciales en el código | GitLeaks, TruffleHog | Pre-commit + CI |
| Container | Vulnerabilidades en imágenes | Trivy, Grype | En build de imagen |
| DAST | Vulnerabilidades en runtime | OWASP ZAP, Burp Suite | En staging |
Principios
- Automatizar todo lo posible
- Feedback rápido (no bloquear por días)
- Shared responsibility (no solo el equipo de seguridad)
- Compliance as code
Referencias
- OWASP DevSecOps Guideline — OWASP.
- DevSecOps — Snyk — Snyk, 2024. Guía práctica de DevSecOps.
- What is DevSecOps? — Red Hat, 2024. Introducción a DevSecOps.