La clave para una gestión exitosa de los secretos es encontrar la mejor manera de hacerlo de la forma más sencilla.

La mayoría de las organizaciones comprenden el valor de la gestión de secretos (la práctica de almacenar de forma segura credenciales de desarrollo como claves API, certificados y claves SSH), pero no todas las organizaciones siguen prácticas seguras de gestión de secretos. Según la encuesta de desarrolladores de 2024 del proveedor de gestión de secretos Bitwarden, que encuestó a 600 desarrolladores de diferentes industrias, el 86% de las empresas utilizan una solución de gestión de secretos, y el 14% todavía no lo hace. Un informe de Sophos de 2023 encontró que las credenciales comprometidas eran la causa principal del 50% de los ataques estudiados por el equipo de respuesta a incidentes. Y según el Informe sobre la expansión de los secretos en 2024 de GitGuardian, se descubrieron 12,7 millones de secretos en compromisos públicos de GitHub en 2023, un aumento del 28 % con respecto al año anterior. “Por supuesto, este es un gran problema para cualquier organización que intente proteger los datos de los clientes. Por lo tanto, es increíblemente importante que cualquier desarrollador se adhiera a buenas prácticas de gestión de secretos”, dijo Max Power, gerente de producto de Bitwarden Secrets Manager. CONTENIDO RELACIONADO: Implementación de buenas prácticas de gestión de secretos para reducir los riesgos de seguridad. Las organizaciones saben que necesitan hacerlo mejor, pero. Hay muchas cosas que los desarrolladores tienden a dejar de lado cuando están bajo presión para ofrecer resultados más rápidos, y la gestión de secretos es, lamentablemente, una de ellas. Doppler Secrets cree que para implementar con éxito buenas prácticas de gestión de secretos, los equipos deben hacer que trabajen con ellas. flujos de trabajo existentes “Evalúe sus opciones y realmente trate de asegurarse de que todo lo que esté haciendo se ajuste a un flujo de trabajo sostenible para usted; ese es probablemente mi mayor consejo”, dijo Manoogian. Brian Vallelunga, fundador y director ejecutivo de Doppler, está de acuerdo y dice que «si no aborda la integración del componente en su flujo de trabajo, no se utilizará y, por lo tanto, no tendrá ningún valor». Explicó que hay muchas formas de almacenar secretos, desde el método menos seguro de simplemente almacenarlos en archivos de texto hasta la opción más segura de utilizar una plataforma diseñada específicamente para almacenar la información de forma segura. Usar un sistema de gestión de secretos es beneficioso, no sólo porque es más seguro, sino que también evita que los desarrolladores tengan que gestionar un mosaico de archivos o diferentes sistemas donde se guardan secretos, lo que en realidad introduce más fricción en los equipos de desarrollo. «El arte y la práctica de gestionar secretos es mantenerlos seguros y al mismo tiempo hacerlos accesibles a los desarrolladores cuando los necesiten con los controles de acceso y auditorías adecuados», dijo Vallelunga. Vallelunga recomienda asegurarse de que su práctica de gestión de secretos pueda sincronizarse entre equipos y partes del ciclo de vida de desarrollo de software; de ​​lo contrario, podría generar más problemas. Por ejemplo, imagine un escenario en el que un desarrollador agrega un fragmento de código que requiere un secreto y luego otros desarrolladores también están trabajando en ese código, pero no tienen acceso a ese secreto. Esto puede provocar compilaciones fallidas y una pérdida de tiempo de desarrollo mientras los desarrolladores trabajan para localizar el secreto correcto. Power dice que «el objetivo es hacer que sea lo más fácil posible colaborar con estos secretos y compartirlos de forma segura entre usuarios humanos, pero también entre el uso de máquinas y entre servicios, entre canales de CD, entre diferentes entornos, etc.». . “ Según los encuestados de Bitwarden Developer Survey, la principal prioridad que tienen los equipos de desarrollo al comprar una solución de gestión de secretos es la facilidad de integración con otras herramientas. Otros factores importantes incluyen el nivel de seguridad, las características, la reputación del proveedor y la escalabilidad de la empresa. Cómo la gestión de secretos puede ser una herramienta para construir una sólida cultura de ingeniería La empresa de herramientas de SEO AccuRanker utiliza Bitwarden para gestionar sus secretos, y la empresa descubrió que tener buenas herramientas de gestión de secretos era importante para construir su cultura de ingeniería. Su líder técnico, Henrik Refslund, dice que si no existe un proceso implementado o buenas herramientas para administrar las cosas, los desarrolladores presionados por el tiempo a menudo recurrirán a la opción más simple disponible. “Lo ideal sería que, en un mundo perfecto, la seguridad se proporcionara de forma predeterminada. Quiere que la seguridad sea la opción más fácil para los desarrolladores», dijo. Dijo que en AccuRanker, la gestión de secretos se ha convertido en parte de los esfuerzos para mejorar la experiencia de los desarrolladores. Reconociendo que estamos en un mercado donde es difícil encontrar buenos desarrolladores y retenerlos también puede ser un desafío, mantener una buena experiencia de desarrollo es un gran objetivo para la empresa. Esto requiere políticas y herramientas que vayan de la mano y se apoyen entre sí. “Con las herramientas adecuadas, hemos podido establecer estas políticas. , hemos podido crear reglas y mejores prácticas… si aborda esto de la manera correcta, si crea procesos y pautas adecuados para esto, ayuda a construir una sólida cultura de seguridad en ingeniería”.

About Francisco

Check Also

Botones personalizables: instantánea del navegador Android Vivaldi 3380.4

Esta instantánea presenta un botón personalizable, corrige varias regresiones y lleva Chromium a 126. Por …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *