Este documento presenta un taller sobre DevSecOps en Azure. Incluye una introducción a DevOps, Azure DevOps y DevSecOps, así como el uso de herramientas de seguridad de aplicaciones en Azure DevOps. Los oradores son expertos en DevSecOps y seguridad de la información con experiencia relevante.
SonarQube - Como avaliar seus fornecedores e garantir a qualidade de suas ent...Igor Rosa Macedo
O documento discute como garantir a qualidade do software através da utilização da ferramenta SonarQube para avaliar métricas de qualidade, identificar problemas e dívidas técnicas no código. Apresenta também práticas como code review, pair programming e análise de métricas que podem ser usadas internamente para melhorar a qualidade do software.
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...Silicon Comté
Docker est une plateforme open source, pour les développeurs et les administrateurs systèmes, destinée à empaqueter une application et ses dépendances dans le but de l’exécuter sur n’importe quel serveur.
Il a pour objectif de faciliter le déploiement d’une application, d’avoir plusieurs versions de celle-ci et également d’automatiser son packaging tout en gardant un système de base propre.
Alexandre Di Pino nous présentera cette technologie et l’utilisation qu’il en fait dans un contexte de production.
A propos de l’intervenant
Titulaire d’un master en informatique à Epitech, Alexandre travaille au sein de la société InSimo, société développant un moteur physique temps réel pour la simulation médicale. Twitter : @a_dipino / LinkedIn : alexandredipino
Swarm in a nutshell
• Exposes several Docker Engines as a single virtual Engine
• Serves the standard Docker API
• Extremely easy to get started
• Batteries included but swappable
Micro Focus Software Delivery and Testing Jan De Coster Presentation on the Journey to DevOps in the recent Micro Focus #DevDay Copenhagen.
Micro Focus enables enterprise software organizations to build innovative software and accelerate application delivery to meet the needs of the business. Whatever the challenges and infrastructures, our core principle—of reusing what already works to minimize business risk while supporting modern software practices—has positioned our customers to be better prepared to support the digital transformation of the business.
Build, test and deliver innovative software faster with less risk.
April 2017.
Kubernetes is an open-source container cluster manager that was originally developed by Google. It was created as a rewrite of Google's internal Borg system using Go. Kubernetes aims to provide a declarative deployment and management of containerized applications and services. It facilitates both automatic bin packing as well as self-healing of applications. Some key features include horizontal pod autoscaling, load balancing, rolling updates, and application lifecycle management.
SonarQube - Como avaliar seus fornecedores e garantir a qualidade de suas ent...Igor Rosa Macedo
O documento discute como garantir a qualidade do software através da utilização da ferramenta SonarQube para avaliar métricas de qualidade, identificar problemas e dívidas técnicas no código. Apresenta também práticas como code review, pair programming e análise de métricas que podem ser usadas internamente para melhorar a qualidade do software.
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...Silicon Comté
Docker est une plateforme open source, pour les développeurs et les administrateurs systèmes, destinée à empaqueter une application et ses dépendances dans le but de l’exécuter sur n’importe quel serveur.
Il a pour objectif de faciliter le déploiement d’une application, d’avoir plusieurs versions de celle-ci et également d’automatiser son packaging tout en gardant un système de base propre.
Alexandre Di Pino nous présentera cette technologie et l’utilisation qu’il en fait dans un contexte de production.
A propos de l’intervenant
Titulaire d’un master en informatique à Epitech, Alexandre travaille au sein de la société InSimo, société développant un moteur physique temps réel pour la simulation médicale. Twitter : @a_dipino / LinkedIn : alexandredipino
Swarm in a nutshell
• Exposes several Docker Engines as a single virtual Engine
• Serves the standard Docker API
• Extremely easy to get started
• Batteries included but swappable
Micro Focus Software Delivery and Testing Jan De Coster Presentation on the Journey to DevOps in the recent Micro Focus #DevDay Copenhagen.
Micro Focus enables enterprise software organizations to build innovative software and accelerate application delivery to meet the needs of the business. Whatever the challenges and infrastructures, our core principle—of reusing what already works to minimize business risk while supporting modern software practices—has positioned our customers to be better prepared to support the digital transformation of the business.
Build, test and deliver innovative software faster with less risk.
April 2017.
Kubernetes is an open-source container cluster manager that was originally developed by Google. It was created as a rewrite of Google's internal Borg system using Go. Kubernetes aims to provide a declarative deployment and management of containerized applications and services. It facilitates both automatic bin packing as well as self-healing of applications. Some key features include horizontal pod autoscaling, load balancing, rolling updates, and application lifecycle management.
DevOps brings together people, processes, and technology to automate software delivery and provide continuous value to users. Azure DevOps provides tools to help with continuous integration (CI), continuous delivery (CD), and continuous learning and monitoring. It offers Azure Boards for planning and tracking work, Azure Repos for source control, Azure Pipelines for CI/CD, Azure Test Plans for testing, and Azure Artifacts for package management. Azure DevOps supports organizations of all sizes with an integrated, enterprise-grade DevOps toolchain.
DevOps concepts, tools, and technologies v1.0Mohamed Taman
DevOps is not a tool or technology; it is an approach or culture that makes things better.
This session describes in detail how DevOps solves different problems of the traditional
application delivery cycle.
It also describes how it can be used to make development and operations teams efficient and effective in order to make time to market faster by improving culture. It also explains key concepts essential for evolving DevOps culture.
In this session, we will cover the following topics:
1- Understanding the DevOps movement
2- The DevOps lifecycle—it's all about “continuous”
3- Continuous integration
4- Configuration management
5- Continuous delivery/continuous deployment
6- Continuous monitoring
7- Continuous feedback
8- Tools and technologies
This presentation covers deploy Azure DevOps projects, repositories, pipelines, variable groups, etc. using the newly released Azure DevOps Terraform provider.
A recording of this presentation is available on my YouTube channel here: https://www.youtube.com/c/adinermie
A blog article about this topic is also available here: https://adinermie.com/deploying-azure-devops-ado-using-terraform/
Shifting Security Left - The Innovation of DevSecOps - ValleyTechConTom Stiehm
DevSecOps adds on the DevOps by making Application Security part of the daily workflow of the team in order to improve the quality and security of a product. Shift AppSec practices left is the key enabler to making AppSec a first-class citizen in the development effort rather than an afterthought with limited ability to be successful.
Devops core principles
CI/CD basics
CI/CD with asp.net core webapi and Angular app
Iac Why and What?
Demo using Azure and Azure Devops
Docker why and what ?
Demo using Azure and Azure Devops
Kubernetes why and what?
Demo using Azure and Azure Devops
Este documento presenta información sobre dos expertos en DevSecOps, Luciano Moreira y Christian Ibiri, destacando sus credenciales y experiencia. También introduce el marco CALMS para la adopción de DevSecOps, explicando que cada letra representa un área clave como cultura, automatización, LeanIT, medición y compartir. Finalmente, discute cómo cada elemento de CALMS, especialmente cultura, automatización y LeanIT, son importantes para implementar con éxito DevSecOps.
Roles and Responsibilities of a DevOps EngineerZaranTech LLC
DevOps Training & Certification provided Online from USA industry expert trainers with real time project experience.
COURSE PAGE: https://www.zarantech.com/devops-certification-training/
REGISTER FOR FREE LIVE DEMO: http://promo.zarantech.com/free-webinar-devops
CONTACT: +1 (515) 309-7846 (or) Email - info@zarantech.com
Get More Free Videos - Subscribe ➜ https://goo.gl/5ZqDML
"DevOps tutorial"
"free DevOps training"
"online DevOps training"
"Best DevOps training"
"DevOps for Beginners"
"Best DevOps Training"
Reviews / Testimonials from past trainees are saying: https://goo.gl/ZVfnE4
Recommendations on Facebook - http://www.facebook.com/ZaranTechLLC
Testimonials on our website - http://www.zarantech.com/testimonials
Refer your friends to ZaranTech - http://www.zarantech.com/be-a-friend-tell-a-friend.
The document discusses the DoD Enterprise DevSecOps Initiative, which aims to establish DevSecOps capabilities across the DoD. Some key points:
- It will establish standardized DevSecOps processes and tools to rapidly and securely deliver applications while embedding cybersecurity. This includes a centralized artifacts repository of hardened containers.
- It addresses the full DevSecOps lifecycle from development to operations, and enables seamless application portability across environments.
- Specific programs and initiatives discussed include Platform One, Cloud One, the software factory team, and the DevSecOps technology stack and architecture. Platform One provides DevSecOps platforms and pipelines while Cloud One provides cloud infrastructure.
- The initiative aims to transform DoD
The document discusses how to integrate the SonarQube code quality analysis tool with projects. It covers downloading and installing SonarQube, configuring it to work with various databases and web servers, and integrating it with build tools like Maven and Jenkins to analyze code on pull requests and during regular builds. The document also provides an overview of the metrics and reports that SonarQube can generate, such as lines of code, rule violations, code coverage, complexity, and comparing metrics over time.
In the world of DevSecOps as you may predict we have three teams working together. Development, the Security team and Operations.
The “Sec” of DevSecOps introduces changes into the following:
• Engineering
• Operations
• Data Science
• Compliance
DevOps combines software development and IT operations to shorten the systems development life cycle. It promotes a culture of collaboration between developers and operations staff. Implementing DevOps culture requires trust, time, education, and well-defined processes. The DevOps pillars of continuous integration, continuous delivery, and release management automate the software development lifecycle. Continuous integration involves regularly integrating code changes. Continuous delivery aims to make code releases frequent and easy. Release management oversees the development, testing, and deployment of software releases. Choosing the right DevOps tools requires considering an organization's needs, existing tools, and culture.
This document provides an overview of service mesh and the Istio observability tool Kiali. It begins with an introduction to service mesh and what problems it addresses in microservices architectures. Istio is presented as an open source service mesh that provides traffic management, observability, and policy enforcement for microservices. Kiali is specifically discussed as a tool for visualizing the topology and traffic flow of services in an Istio mesh. The rest of the document provides an agenda and then a live demo of Kiali's features using the Bookinfo sample application on Istio.
DevOps is a methodology that unites software development (Dev) and IT operations (Ops) into a single continuous process focused on improving quality and speed of delivering new apps. It eliminates finger-pointing between Dev and Ops by emphasizing collaboration through principles like culture, measurement, automation and sharing. Adopting DevOps leads to faster time to market, increased quality, and greater organizational effectiveness.
Docker is a system for running applications securely isolated in a container to provide a consistent deployment environment. The document introduces Docker, discusses the challenges of deploying applications ("the matrix from hell"), and how Docker addresses these challenges by allowing applications and their dependencies to be packaged into lightweight executable containers that can run on any infrastructure. It also summarizes key Docker tools like Docker Compose for defining and running multi-container apps, Docker Machine for provisioning remote Docker hosts in various clouds, and Docker Swarm for clustering Docker hosts.
40 DevSecOps Reference Architectures for you. See what tools your peers are using to scale DevSecOps and how enterprises are automating security into their DevOps pipeline. Learn what DevSecOps tools and integrations others are deploying in 2019 and where your choices stack up as you consider shifting security left.
Devops On Cloud Powerpoint Template Slides Powerpoint Presentation SlidesSlideTeam
Introducing DevOps On Cloud PowerPoint Template Slides PowerPoint Presentation Slides. Provide an overview of DevOps with this attention-grabbing PPT slideshow. This presentation helps to understand the need for DevOps, how it is different from traditional IT, DevOps use cases in business, lifecycle, roadmap, and so on. Provide an overview of how DevOps is different from agile by using the content-ready DevOps strategy PPT visuals. The slides also explain the roles, responsibilities, and skills of DevOps engineers. DevOps automation tools and DevOps roadmap for implementation in the organization can be discussed effectively. Provide an overview of DevOps on the cloud by describing cloud computing, characteristics of cloud computing, benefits, top risks related to cloud computing, etc. Cloud computing use cases and cloud deployment models can be presented with the help of visual attention-grabbing DevOps implementation roadmap PowerPoint slides. The roadmap to integrate cloud computing in business can be depicted easily by using the DevOps implementation strategy PowerPoint slideshow. https://bit.ly/3d8uYRY
DevSecOps se refiere a la unión de personas, procesos y herramientas para permitir la entrega continua de valor a los usuarios finales de manera segura. Integra las prácticas de seguridad en el ciclo de desarrollo de software para automatizar la entrega de aplicaciones más seguras de forma rápida. El objetivo es que los equipos de desarrollo y seguridad colaboren estrechamente para identificar y mitigar vulnerabilidades lo antes posible en el proceso de desarrollo.
Este documento describe la evolución de las prácticas de TI desde los enfoques tradicionales hasta los enfoques ágiles y DevOps. Explica que DevOps surgió para mejorar la colaboración entre los equipos de desarrollo y operaciones. También describe cómo DevSecOps integra la seguridad en todas las fases del ciclo de vida del desarrollo de software de una manera ágil y automatizada.
DevOps brings together people, processes, and technology to automate software delivery and provide continuous value to users. Azure DevOps provides tools to help with continuous integration (CI), continuous delivery (CD), and continuous learning and monitoring. It offers Azure Boards for planning and tracking work, Azure Repos for source control, Azure Pipelines for CI/CD, Azure Test Plans for testing, and Azure Artifacts for package management. Azure DevOps supports organizations of all sizes with an integrated, enterprise-grade DevOps toolchain.
DevOps concepts, tools, and technologies v1.0Mohamed Taman
DevOps is not a tool or technology; it is an approach or culture that makes things better.
This session describes in detail how DevOps solves different problems of the traditional
application delivery cycle.
It also describes how it can be used to make development and operations teams efficient and effective in order to make time to market faster by improving culture. It also explains key concepts essential for evolving DevOps culture.
In this session, we will cover the following topics:
1- Understanding the DevOps movement
2- The DevOps lifecycle—it's all about “continuous”
3- Continuous integration
4- Configuration management
5- Continuous delivery/continuous deployment
6- Continuous monitoring
7- Continuous feedback
8- Tools and technologies
This presentation covers deploy Azure DevOps projects, repositories, pipelines, variable groups, etc. using the newly released Azure DevOps Terraform provider.
A recording of this presentation is available on my YouTube channel here: https://www.youtube.com/c/adinermie
A blog article about this topic is also available here: https://adinermie.com/deploying-azure-devops-ado-using-terraform/
Shifting Security Left - The Innovation of DevSecOps - ValleyTechConTom Stiehm
DevSecOps adds on the DevOps by making Application Security part of the daily workflow of the team in order to improve the quality and security of a product. Shift AppSec practices left is the key enabler to making AppSec a first-class citizen in the development effort rather than an afterthought with limited ability to be successful.
Devops core principles
CI/CD basics
CI/CD with asp.net core webapi and Angular app
Iac Why and What?
Demo using Azure and Azure Devops
Docker why and what ?
Demo using Azure and Azure Devops
Kubernetes why and what?
Demo using Azure and Azure Devops
Este documento presenta información sobre dos expertos en DevSecOps, Luciano Moreira y Christian Ibiri, destacando sus credenciales y experiencia. También introduce el marco CALMS para la adopción de DevSecOps, explicando que cada letra representa un área clave como cultura, automatización, LeanIT, medición y compartir. Finalmente, discute cómo cada elemento de CALMS, especialmente cultura, automatización y LeanIT, son importantes para implementar con éxito DevSecOps.
Roles and Responsibilities of a DevOps EngineerZaranTech LLC
DevOps Training & Certification provided Online from USA industry expert trainers with real time project experience.
COURSE PAGE: https://www.zarantech.com/devops-certification-training/
REGISTER FOR FREE LIVE DEMO: http://promo.zarantech.com/free-webinar-devops
CONTACT: +1 (515) 309-7846 (or) Email - info@zarantech.com
Get More Free Videos - Subscribe ➜ https://goo.gl/5ZqDML
"DevOps tutorial"
"free DevOps training"
"online DevOps training"
"Best DevOps training"
"DevOps for Beginners"
"Best DevOps Training"
Reviews / Testimonials from past trainees are saying: https://goo.gl/ZVfnE4
Recommendations on Facebook - http://www.facebook.com/ZaranTechLLC
Testimonials on our website - http://www.zarantech.com/testimonials
Refer your friends to ZaranTech - http://www.zarantech.com/be-a-friend-tell-a-friend.
The document discusses the DoD Enterprise DevSecOps Initiative, which aims to establish DevSecOps capabilities across the DoD. Some key points:
- It will establish standardized DevSecOps processes and tools to rapidly and securely deliver applications while embedding cybersecurity. This includes a centralized artifacts repository of hardened containers.
- It addresses the full DevSecOps lifecycle from development to operations, and enables seamless application portability across environments.
- Specific programs and initiatives discussed include Platform One, Cloud One, the software factory team, and the DevSecOps technology stack and architecture. Platform One provides DevSecOps platforms and pipelines while Cloud One provides cloud infrastructure.
- The initiative aims to transform DoD
The document discusses how to integrate the SonarQube code quality analysis tool with projects. It covers downloading and installing SonarQube, configuring it to work with various databases and web servers, and integrating it with build tools like Maven and Jenkins to analyze code on pull requests and during regular builds. The document also provides an overview of the metrics and reports that SonarQube can generate, such as lines of code, rule violations, code coverage, complexity, and comparing metrics over time.
In the world of DevSecOps as you may predict we have three teams working together. Development, the Security team and Operations.
The “Sec” of DevSecOps introduces changes into the following:
• Engineering
• Operations
• Data Science
• Compliance
DevOps combines software development and IT operations to shorten the systems development life cycle. It promotes a culture of collaboration between developers and operations staff. Implementing DevOps culture requires trust, time, education, and well-defined processes. The DevOps pillars of continuous integration, continuous delivery, and release management automate the software development lifecycle. Continuous integration involves regularly integrating code changes. Continuous delivery aims to make code releases frequent and easy. Release management oversees the development, testing, and deployment of software releases. Choosing the right DevOps tools requires considering an organization's needs, existing tools, and culture.
This document provides an overview of service mesh and the Istio observability tool Kiali. It begins with an introduction to service mesh and what problems it addresses in microservices architectures. Istio is presented as an open source service mesh that provides traffic management, observability, and policy enforcement for microservices. Kiali is specifically discussed as a tool for visualizing the topology and traffic flow of services in an Istio mesh. The rest of the document provides an agenda and then a live demo of Kiali's features using the Bookinfo sample application on Istio.
DevOps is a methodology that unites software development (Dev) and IT operations (Ops) into a single continuous process focused on improving quality and speed of delivering new apps. It eliminates finger-pointing between Dev and Ops by emphasizing collaboration through principles like culture, measurement, automation and sharing. Adopting DevOps leads to faster time to market, increased quality, and greater organizational effectiveness.
Docker is a system for running applications securely isolated in a container to provide a consistent deployment environment. The document introduces Docker, discusses the challenges of deploying applications ("the matrix from hell"), and how Docker addresses these challenges by allowing applications and their dependencies to be packaged into lightweight executable containers that can run on any infrastructure. It also summarizes key Docker tools like Docker Compose for defining and running multi-container apps, Docker Machine for provisioning remote Docker hosts in various clouds, and Docker Swarm for clustering Docker hosts.
40 DevSecOps Reference Architectures for you. See what tools your peers are using to scale DevSecOps and how enterprises are automating security into their DevOps pipeline. Learn what DevSecOps tools and integrations others are deploying in 2019 and where your choices stack up as you consider shifting security left.
Devops On Cloud Powerpoint Template Slides Powerpoint Presentation SlidesSlideTeam
Introducing DevOps On Cloud PowerPoint Template Slides PowerPoint Presentation Slides. Provide an overview of DevOps with this attention-grabbing PPT slideshow. This presentation helps to understand the need for DevOps, how it is different from traditional IT, DevOps use cases in business, lifecycle, roadmap, and so on. Provide an overview of how DevOps is different from agile by using the content-ready DevOps strategy PPT visuals. The slides also explain the roles, responsibilities, and skills of DevOps engineers. DevOps automation tools and DevOps roadmap for implementation in the organization can be discussed effectively. Provide an overview of DevOps on the cloud by describing cloud computing, characteristics of cloud computing, benefits, top risks related to cloud computing, etc. Cloud computing use cases and cloud deployment models can be presented with the help of visual attention-grabbing DevOps implementation roadmap PowerPoint slides. The roadmap to integrate cloud computing in business can be depicted easily by using the DevOps implementation strategy PowerPoint slideshow. https://bit.ly/3d8uYRY
DevSecOps se refiere a la unión de personas, procesos y herramientas para permitir la entrega continua de valor a los usuarios finales de manera segura. Integra las prácticas de seguridad en el ciclo de desarrollo de software para automatizar la entrega de aplicaciones más seguras de forma rápida. El objetivo es que los equipos de desarrollo y seguridad colaboren estrechamente para identificar y mitigar vulnerabilidades lo antes posible en el proceso de desarrollo.
Este documento describe la evolución de las prácticas de TI desde los enfoques tradicionales hasta los enfoques ágiles y DevOps. Explica que DevOps surgió para mejorar la colaboración entre los equipos de desarrollo y operaciones. También describe cómo DevSecOps integra la seguridad en todas las fases del ciclo de vida del desarrollo de software de una manera ágil y automatizada.
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020Javier Dominguez
Este documento presenta una introducción a DevOps y ofrece un enfoque práctico para la adopción orgánica de DevOps. Explica los cuatro pilares de DevOps (cultura, procesos, gobierno y herramientas) y propone un modelo de madurez y adopción gradual basado en estos pilares. Finalmente, sugiere que la adopción exitosa de DevOps requiere un cambio cultural colaborativo y la optimización continua de los procesos de desarrollo y operaciones.
DevSecOps desaparecerá y DevOps tendrá la seguridad incorporada. Aquí está la seguridad que es relevante durante la codificación y la seguridad que es relevante durante las operaciones, pero nunca ha habido una "Sec" separada en DevOps. Ambas actividades de seguridad se convertirán en una parte integral de sus respectivas "mitades" del ciclo DevOps.
El fervor en torno a DevSecOps se enfriará porque el mercado y los analistas reconocerán que la seguridad en el desarrollo, la entrega y la producción deben incorporarse a un nivel fundamental, obviando así la necesidad de pensar en DevSecOps como algo separado de DevOps.
Azure DevOps brinda múltiples servicios en la nube para DevOps que permiten a las empresas alcanzar resultados de negocio, desde una idea hasta la producción del código. Azure DevOps funciona con todos los lenguajes, nubes y plataformas.
Construir y publicar software de manera más sencilla, confiable y rápida con...Luis Cosio
Vamos a tratar de resolver las siguientes preguntas…
¿Qué es DevOps?
¿Cuáles son los componentes de DevOps?
¿Qué NO es DevOps?
¿Por qué Amazon Web Services (AWS) para DevOps?
¿Cuáles son los siguientes pasos para implementar DevOps en tu organización?
Microsoft Cloud Workshop realizado por atSistemas para Arquitectos, Developers y Admin IT sobre Cloud Native, Contenedores y DevOps en Azure usando Docker AKS Kubernetes y Azure DevOps para automatizar todo el proceso de despliegue.
Este documento proporciona una introducción al concepto de DevOps. Explica que DevOps implica la eliminación de barreras entre los equipos de desarrollo y operaciones para que trabajen de forma más colaborativa en todo el ciclo de vida de las aplicaciones. También describe algunas de las principales prácticas de DevOps como la integración continua, la entrega continua y el uso de la infraestructura como código. Finalmente, presenta diferentes categorías de herramientas de DevOps que automatizan tareas y ayudan a los equipos a implement
Este documento proporciona una introducción a Azure DevOps, una plataforma de ciclo de vida de aplicaciones (ALM) de Microsoft. Explica conceptos clave como DevOps, integración continua y entrega continua. Luego describe las características principales de Azure DevOps como organizaciones, proyectos, tableros, pipelines de CI/CD y artefactos. Finalmente, cubre temas como pruebas, seguridad, monitoreo y el mercado de extensiones. El objetivo es automatizar el desarrollo de software y la entrega continua de
En este articulo conoceremos los beneficios de implementar DevOps y mas si se utiliza el servicio de Azure.
Azure DevOps es la evolución de Visual Studio Team Services
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Argentina
El documento presenta información sobre DevSecOps, una filosofía que integra la seguridad en el ciclo de desarrollo de aplicaciones. Se explica que DevSecOps surge de la fusión de DevOps y SecOps, con el objetivo de automatizar la seguridad y poder implementar aplicaciones seguras de forma rápida. También se comparten enlaces a recursos sobre teorías, herramientas y plataformas relacionadas con infraestructura como código, configuración, versionado, nubes, virtualización, orquestación y aprovisionamiento.
Este documento habla sobre la integración de la seguridad en el proceso de desarrollo de software (DevSecOps). Primero, explica que DevSecOps fusiona los enfoques de DevOps y SecOps para incluir la seguridad en todas las etapas del ciclo de vida de una aplicación. Luego, propone un plan de 12 semanas para que un equipo DevOps comience a adoptar prácticas de DevSecOps, como incorporar herramientas de análisis de seguridad y automatizarlas, involucrar a la seguridad desde las primeras et
Este documento describe las prácticas de DevOps y cómo se pueden implementar utilizando Microsoft Azure. Explica conceptos clave como integración continua, entrega continua y monitoreo. También describe cómo Azure DevOps proporciona una solución integral para el desarrollo ágil, la implementación continua y la administración de repositorios. Finalmente, cubre tecnologías como Docker, Kubernetes e infraestructura como código.
Este documento describe los principios de la entrega continua y la mejora continua en el desarrollo de software. La entrega continua permite a los clientes probar el software en desarrollo y proporcionar comentarios para mejoras. Esto permite a los desarrolladores mejorar el software, el entorno de entrega y el proceso de entrega. La mejora continua conduce a desarrolladores más eficientes y capaces de entregar software a menor costo.
En los últimos años, la forma de desarrollar software ha evolucionado. Nuevos patrones, nuevas arquitecturas y nuevas tecnologías como cloud y microservicios. Pero, ¿cómo desarrollo ahora? ¿Cómo despliego el software? ¿Cómo manejo los nuevos modelos de base de datos? DevOps y DataOps son la respuesta.
DevOps es una filosofía que enfatiza la colaboración entre desarrolladores de software y operaciones de TI. Se centra en automatizar el proceso de entrega de software y cambios en la infraestructura para permitir la construcción, prueba y lanzamiento de software de manera rápida y confiable. Involucra prácticas como automatización de compilación, pruebas unitarias, despliegue continuo y monitoreo para mejorar la comunicación entre equipos de desarrollo y operaciones.
El documento habla sobre los desafíos de modernizar aplicaciones heredadas y la necesidad de acelerar la transformación digital. Propone utilizar Azure DevOps y JIRA para migrar aplicaciones a la nube híbrida de forma rápida y segura, lo que permitiría mejorar la experiencia del desarrollador, acelerar las entregas, fortalecer la seguridad y optimizar costos. Recomienda evaluar el portafolio de aplicaciones para definir una estrategia de modernización gradual que use herramientas como Azure Pipelines, Azure Repos y App Service
Te compartimos el material del Webinar del 30/11/2017 que realizamos desde Algeiba IT junto a Microsoft, donde te hacemos una introducción muy completa sobre las posibilidades de tener cargas de trabajo Open Source sobre Microsoft Azure, y todas las oportunidades que esto facilita. Pablo Di Loreto fue el orador responsable de la sesión, quién es MVP de Microsoft para Windows y Azure.
Este documento trata sobre DevOps y cómo los administradores de bases de datos (DBAs) pueden contribuir a este enfoque. Explica brevemente el concepto de DevOps y algunas de las prácticas clave como la automatización, entrega continua y contenedores. También destaca áreas en las que los DBAs pueden agregar valor como garantizar que los datos no sean un cuello de botella y adoptar nuevas habilidades de DevOps.
Octubre es el mes de Concientización sobre ciberseguridad, como una de las Champion organizations en Cloud Legion estamos orgullosos de impulsar esta iniciativa.
Descubra cómo puede adelantarse a las ciber amenazas mas comunes con consejos que les brindamos. Promovamos una cultura de ciberseguridad entre todos.
Juntos somos más fuertes hashtag#somoslegion.
¿Tiene lo que se necesita para ser un Legionario de la ciberseguridad?
(1) Luciano Moreira es un experto en seguridad cloud native y DevSecOps con una amplia experiencia en auditorías, certificaciones y capacitación. (2) El documento describe los desafíos de seguridad en entornos cloud native como la falta de perímetros definidos y la necesidad de enfoques no tradicionales. (3) También analiza informes de auditorías de seguridad de proyectos CNCF que encontraron principalmente vulnerabilidades de baja gravedad relacionadas con validación de datos y configuración.
Las tres oraciones resumen el documento de la siguiente manera:
1) El documento habla sobre la transformación a una operación Cloud Native y cómo muchas empresas aún no pueden implementar nuevas funciones rápidamente a pesar de instalar herramientas como Kubernetes.
2) Explica que a menudo hay una relación disfuncional entre TI y el negocio, con procesos rígidos como ITIL que no permiten mejora continua.
3) Introduce el concepto de los tres horizontes para equilibrar recursos entre el negocio actual y futuro, y cómo
The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...Luciano Moreira da Cruz
Crear un entorno en la nube y garantizar despliegues libres de conflicto, es una hazaña épica. En la primera parte de esta trilogía de webinars sobre cloud native, conoceremos los elementos indispensables para crear un poderoso entorno en la nube.
CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...Luciano Moreira da Cruz
Este documento describe tres enfoques diferentes para la adopción de la nube por parte de empresas. La primera empresa realizó una migración rápida a la nube sin modificar sus cargas de trabajo, lo que resultó en altos costos. La segunda empresa también realizó inicialmente una migración sin modificaciones, pero luego tuvo que volver a trabajar todo para optimizarlo, lo que llevó más tiempo. La tercera empresa planeó su migración de manera estratégica para modificar sus cargas de trabajo y aprovechar mejor las capacidades de la nube.
¿Queres realizar un proyecto de #DevSecOps y no sabés por dónde empezar?
En estas paginas no te vamos a brindar la receta mágica o la super metodología de #DevSecOps porque eso no existe. En su lugar este E-book está destinado a ser en parte terapéutico y en parte de alerta temprana. “Las historias presentadas no son una hoja de ruta. Lo que hacen es reconocer el fracaso como parte de la base de conocimiento de la comunidad DevSecOps”.
El verdadero aprendizaje, llega a través del fracaso. Si algo sale mal, tenemos que revolver, experimentar, hackear y nuestras mentes están más abiertas a recibir aportes externos.
Este documento presenta 4 casos de no éxito en la implementación de DevSecOps. El primer caso trata sobre empresas que no logran integrar a seguridad en su adopción de DevOps. El segundo caso se refiere a iniciar proyectos de DevSecOps centrándose demasiado en herramientas. El tercer caso describe cuando no se tienen en cuenta los requisitos de auditoría. Y el cuarto caso analiza cuando se intenta agregar seguridad tarde en un proyecto de DevOps ya en marcha. Cada caso presenta lecciones aprendidas sobre la importancia de la
Las malas configuraciones siempre nos sigue.
El control y bloqueo de la nube será el otro foco-objetivo. Las compañías están tendiendo a desplazar el contenido de sus servidores a la nube, un espacio que se considera extremadamente protegido pero cuya ruptura de barreras y descubrimiento de vulnerabilidad se ha convertido en uno de los bienes más preciados.
Realizar ciberataques contra la nube es un proceso más complejo que hacerlo contra servidores o dispositivos propios, pero también lo son las acciones para descubrir y poder bloquear este tipo de acciones.
La Cloud Security Alliance (CSA) es una organización sin fines de lucro cuyo objetivo es promover el uso seguro de la computación en la nube. CSA está dirigida por una amplia coalición de empresas de tecnología. La CSA se formó en 2008 para abordar los desafíos emergentes de seguridad relacionados con la computación en la nube. La CSA ofrece certificaciones como CCSK y programas como CSA STAR para evaluar la seguridad de los proveedores de servicios en la nube. El documento proporciona detalles
Este documento proporciona una introducción a la Cloud Security Alliance (CSA) y su esquema de certificación CSA-STAR. Explica que CSA es una organización sin fines de lucro que promueve las mejores prácticas de seguridad en la nube y que CSA-STAR es un registro público de proveedores de nube auto-evaluados. También describe los tres niveles del Esquema de Certificación Abierto de CSA, incluida la autoevaluación, la certificación y la certificación continua, así como la Matriz de Control de Nube
Infraestructura Ágil es una guía de adopción de buenas prácticas creada y organizada por el colectivo de sysadmins a partir de experiencias que implican la automatización y el uso de métodos ágiles.
La idea principal es que este modelo ayude a los equipos de operación a realizar una transición segura dentro de su infraestructura para un modelo más eficiente y autónomo.
Los principales fundamentos de la Infraestructura Ágil son la automatización, las métricas y el uso de métodos específicos para el trabajo en equipo
En este ebook, usted encontrará un modelo organizado de forma coherente y sencilla para facilitar la adopción e implementación en su empresa.
Este documento presenta una introducción a DevOps y DevSecOps. Explica que DevOps comenzó como un movimiento para mejorar la colaboración entre los equipos de desarrollo de software (DEV) y los de operaciones de TI (INFRA). También describe brevemente la historia de DevOps y los orígenes del término, así como los beneficios potenciales de adoptar una cultura DevOps. Finalmente, introduce el concepto de DevSecOps como una extensión de DevOps que enfatiza la seguridad a lo largo del ciclo de vida del desarrol
Objetivo y puntos clave de su presentación: Conocer los nuevos desafíos, incidentes, problemas de confianza en la Nube y por sobre todo las mejores practicas, recomendaciones e investigaciones.
Un refrán común entre los profesionales de la seguridad dice que "hay dos tipos de empresas en el mundo: los que saben que han sido hackeadas, y los que han sido hackeadas y aún no lo saben". Todas las organizaciones se ven involucradas en una batalla constante con los criminales para evitar ser vulneradas, e implementan soluciones de firewall, IDS/IPS, anti-malware, entre otras, las cuales detectan diariamente millones de incidentes. Sin embargo, como indicábamos en una entrada anterior (La seguridad tradicional no es suficiente), la seguridad de hoy necesita un enfoque donde la inteligencia de amenazas sea la prioridad. La gran pregunta es ¿quién debe hacerlo y de que forma?.
El documento presenta información sobre los desafíos y riesgos de seguridad en la nube, incluyendo apagones recientes en varios servicios en la nube importantes. También discute problemas de privacidad y seguridad que han ocurrido y recomienda el uso de marcos como CSA Cloud Controls Matrix y CSA Consensus Assessments Initiative Questionnaire para ayudar a las organizaciones a evaluar y mitigar riesgos de seguridad en la nube. Además, menciona algunas normas ISO relacionadas a la seguridad en la nube.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaAMADO SALVADOR
Descubra el catálogo completo de buzones BTV, una marca líder en la fabricación de buzones y cajas fuertes para los sectores de ferretería, bricolaje y seguridad. Como distribuidor oficial de BTV, Amado Salvador se enorgullece de presentar esta amplia selección de productos diseñados para satisfacer las necesidades de seguridad y funcionalidad en cualquier entorno.
Descubra una variedad de buzones residenciales, comerciales y corporativos, cada uno construido con los más altos estándares de calidad y durabilidad. Desde modelos clásicos hasta diseños modernos, los buzones BTV ofrecen una combinación perfecta de estilo y resistencia, garantizando la protección de su correspondencia en todo momento.
Amado Salvador, se compromete a ofrecer productos de primera clase respaldados por un servicio excepcional al cliente. Como distribuidor oficial de BTV, entendemos la importancia de la seguridad y la tranquilidad para nuestros clientes. Por eso, trabajamos en colaboración con BTV para brindarle acceso a los mejores productos del mercado.
Explore el catálogo de buzones ahora y encuentre la solución perfecta para sus necesidades de correo y seguridad. Confíe en Amado Salvador y BTV para proporcionarle buzones de calidad excepcional que cumplan y superen sus expectativas.
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaAMADO SALVADOR
Distribuidor Oficial Ariston en Valencia: Amado Salvador distribuidor autorizado de Ariston, una marca líder en soluciones de calefacción y agua caliente sanitaria. Amado Salvador pone a tu disposición el catálogo completo de Ariston, encontrarás una amplia gama de productos diseñados para satisfacer las necesidades de hogares y empresas.
Calderas de condensación: Ofrecemos calderas de alta eficiencia energética que aprovechan al máximo el calor residual. Estas calderas Ariston son ideales para reducir el consumo de gas y minimizar las emisiones de CO2.
Bombas de calor: Las bombas de calor Ariston son una opción sostenible para la producción de agua caliente. Utilizan energía renovable del aire o el suelo para calentar el agua, lo que las convierte en una alternativa ecológica.
Termos eléctricos: Los termos eléctricos, como el modelo VELIS TECH DRY (sustito de los modelos Duo de Fleck), ofrecen diseño moderno y conectividad WIFI. Son ideales para hogares donde se necesita agua caliente de forma rápida y eficiente.
Aerotermia: Si buscas una solución aún más sostenible, considera la aerotermia. Esta tecnología extrae energía del aire exterior para calentar tu hogar y agua. Además, puede ser elegible para subvenciones locales.
Amado Salvador es el distribuidor oficial de Ariston en Valencia. Explora el catálogo y descubre cómo mejorar la comodidad y la eficiencia en tu hogar o negocio.
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor OficialAMADO SALVADOR
Explora el catálogo completo de cajas fuertes BTV, disponible a través de Amado Salvador, distribuidor oficial de BTV. Este catálogo presenta una amplia variedad de cajas fuertes, cada una diseñada con la más alta calidad para ofrecer la máxima seguridad y satisfacer las diversas necesidades de protección de nuestros clientes.
En Amado Salvador, como distribuidor oficial de BTV, ofrecemos productos que destacan por su innovación, durabilidad y robustez. Las cajas fuertes BTV son reconocidas por su eficiencia en la protección contra robos, incendios y otros riesgos, lo que las convierte en una opción ideal tanto para uso doméstico como comercial.
Amado Salvador, distribuidor oficial BTV, asegura que cada producto cumpla con los más estrictos estándares de calidad y seguridad. Al adquirir una caja fuerte a través de Amado Salvador, distribuidor oficial BTV, los clientes pueden tener la tranquilidad de que están obteniendo una solución confiable y duradera para la protección de sus pertenencias.
Este catálogo incluye detalles técnicos, características y opciones de personalización de cada modelo de caja fuerte BTV. Desde cajas fuertes empotrables hasta modelos de alta seguridad, Amado Salvador, como distribuidor oficial de BTV, tiene la solución perfecta para cualquier necesidad de seguridad. No pierdas la oportunidad de conocer todos los beneficios y características de las cajas fuertes BTV y protege lo que más valoras con la calidad y seguridad que solo BTV y Amado Salvador, distribuidor oficial BTV, pueden ofrecerte.
4. Luciano Moreira da Cruz
Luciano Moreira tiene un Master en Ciberseguridad por la Universidad Camilo José Cela. Primer
Auditor CSA STAR certificado en la región SOLA, Elegido Cybersecurity Consultant of the Year en los
premios Cybersecurity Excellence Awards 2016, 2017 y 2018, Es MVP - Most Valuable Professional
Azure (Security, Infrastructure & Storage), Auditor Líder ISO 27001:2013, 27018, 27017 y
9001:2015, Fundador y presidente de DevSecOps Argentina, Presidente del capítulo argentino de la
CSA Cloud Security Alliance. Miembro de ISSA, ISACA, OWASP, del comité académico de los eventos
E-gisart y Cyber de ISACA y del comité científico en Ciberseguridad del evento IEEE ARGENCON,
Orador e Instructor de seguridad en EducacionIT, FSA, I-SEC, entre otros. Luciano cuenta con más de
17 años de experiencia en IT, de los cuales los últimos 12 años desempeñándose en el área de
Seguridad de la Información.
5. Christian Ibiri
Christian Ibiri Es una persona apasionada por la tecnología y sobre todo, las disruptivas o las
que transforman la forma en que estamos acostumbrados de hacer las cosas, como
computación en la nube, metodologías Agile y Infraestructuras Agiles. Es un miembro
fundador de DevSecOps Argentina, tiene mas de 10 años de experiencia en IT, de los cuales los
últimos 7 años en las áreas de Infraestructuras hibridas, cloud, DevOps y automatizacion de
herramientas. Participo en muchos proyectos de infraestructura, networking, migración y
implementación de clouds privadas y públicas, automatización, comunicaciones unificadas y
colaboración, acompañando a las demás partes involucradas en los mismos, desde la etapa de
requerimientos hasta la implementación y pos-implementación. Entusiasta de DevOps, y
infraestructuras agiles y infraestructura como código.
6. Andrés G. Vettori
Andrés G. Vettori es un Arquitecto de nivel Empresarial especializado en procesos de
Transformación Digital con más de 25 años de experiencia en consultoría y desarrollo de sistemas
informáticos. Andrés posee diversas certificaciones en diferentes plataformas y tecnologías,
además de las más recientes certificaciones internacionales “Digital Transformation Readiness” y
“Digital Transformation Practitioner” otorgadas por ITWNET / APMG International, además de
Certified Scrum Master (Scrum Alliance). Con una trayectoria comprobada de proyectos exitosos de
alto impacto de negocio, implementando procesos y tecnologías innovadoras, producto de una
profunda pasión por su trabajo y el intenso deseo de hacer una diferencia positiva en la sociedad,
organizaciones y personas. Andrés posee un amplísimo y profundo campo de acción, conocimiento
y experiencia en áreas, plataformas y tecnologías muy diversas además de un intenso foco en
temas de negocio e industria (Retail, Manufactura, Medios y Telecomunicaciones, Financiera y
Salud) y metodológicos.
7. #AzureDevOps
Antes de empezar:
¿Dónde se almacena la configuración?
¿Cómo se actualiza la configuración?
¿La configuración de producción está aislada y protegida?
¿Dónde están los secretos y quién puede acceder a ellos?
¿Cómo se rastrean las versiones?
¿Quién autoriza los cambios y cómo?
¿Cómo se conservan los datos en las actualizaciones?
¿Cómo se actualizan las interfaces de módulo y esquema de datos?
¿Utiliza imágenes o scripts de entorno?
¿Qué tan grande es la ventana de despliegue?
¿Cómo se registran las actividades y los errores?
¿Cómo se recopilan los datos operacionales de la producción?
13. Algunas fuentes
• Wikipedia (2017): DevOps es un término usado para referirse a un conjunto de prácticas que
enfatiza la colaboración y la comunicación de los desarrolladores de software y otros
profesionales de tecnología de la información (TI) al tiempo que automatiza el proceso de entrega
de software y los cambios de infraestructura.
• Gartner: DevOps representa un cambio en la cultura de TI, centrándose en la entrega rápida de
servicios de TI a través de la adopción de prácticas ágiles y ágiles en el contexto de un enfoque
orientado al sistema. DevOps enfatiza a las personas (y la cultura) y busca mejorar la colaboración
entre las operaciones y los equipos de desarrollo. Las implementaciones de DevOps utilizan
tecnología, especialmente herramientas de automatización que pueden aprovechar una
infraestructura dinámica y cada vez más programable desde una perspectiva de ciclo de vida.
• Microsoft (Donovan Brown): DevOps es la unión de personas, procesos y productos para permitir
la entrega continua de valor a nuestros usuarios finales.
15. ¿Cómo empezó todo?
• Para que podamos comprender totalmente, tenemos que ir al corazón de esta historia. El
movimiento DevOPs no comenzó en un solo lugar, hay muchos lugares que dan pistas sobre el
origen del término, pero al parecer la información más concreta sobre el origen de este movimiento
nos lleva al año 2008. Nasce el término Infraestructura Ágil con foco en el desarrollo ágil.
• luego fue el foro de debate europeo con el nombre agile-sysadmin que empezó a abordar el tema
con propiedad, con eso ayudaron a colocar los primeros ladrillos en el puente que haría la conexión
entre los developers y sysadmins. Un participante de este foro Patrick Debois (@patrickdebois) the
godfather, era uno de los más activos, también un gran entusiasta del tema.
10+ Deploys Per Day: Dev and Ops Cooperation at Flickr from John Allspaw
• El término DevOps fue creado solamente de hecho en 2009 durante la Conferencia
Velocity da O’Reilly, en esta conferencia John Allspaw (Etsy.com) y Paul Hammond
(Typekit) presentaron el trabajo 10+ Deploys Per Day: Dev and Ops Cooperation at
Flickr, ver en el link abajo los slides de la presentación
16. Entonces que DevOps es….
Build
&
Test
Deploy
“
Continuous
Delivery
OperateDevelop
”
Plan
&
Track
Monitor
&
Learn
Personas. Procesos. herramientas.
DevOps es la unión de personas,
procesos y herramientas para
permitir la entrega continua de
valor a sus usuarios finales.
17. 2,555x mas rápido el
tiempo de entrega de
cambios
46x Frecuencia
de despliegue
Time to Market
mas rapido
Aumento
de Ingresos$DevOps
7x mas baja la
tasa de fallas
2,604x mas rápida la
media del tiempo de
recupero
Source: 2018 Accelerate: State of DevOps: Strategies for a New Economy." N. Forsgren, J. Humble, G. Kim. DevOps Research and Assessment (DORA)
Con DevOps las empresas logran un alto rendimiento...
18. #AzureDevOps
No hay ningún equipo de DEV
No hay ningún equipo de OPS
No hay equipo de SEC
No hay una organización central que "Ejecute" el negocio
Sólo hay
Los equipos de DevSecOps y son responsables de
cumplimiento, seguridad, costo, cómo, Cuándo, todo…
¡ Cada equipo es autónomo!
19. Microsoft Azure es una base poderosa y flexible para aplicaciones pasadas, presentes y futuras: crea y administra fácilmente
cualquier aplicación y cualquier stack en una red masiva y global utilizando tus herramientas y frameworks favoritos.
Flexible Potente Abierto
• Elegir IaaS, PaaS, nube pública o híbrida.
• Replica o moderniza la infraestructura de
aplicaciones con máquinas virtuales,
contenedores, microservicios o
serverless.
• Compatible con todas las etapas del
proceso de modernización de la
aplicación, desde levantar y cambiar a
Cloud-Native.
• Mejora al instante el rendimiento, la
escalabilidad y la resistencia de tus
aplicaciones moviéndolas a la nube.
• Aumenta la agilidad empresarial con
las capacidades de Cloud Native e
incorporando DevOps para la
innovación continua.
• Trae tu stack, nosotros traemos una
nube que ejecuta cualquier aplicación,
en cualquier plataforma y en cualquier
lenguaje.
• Crea aplicaciones utilizando el lenguaje
y las herramientas de tu elección. Azure
es compatible con lo que ya usa y adora
para que pueda comenzar a utilizarlo
rápidamente, solo traiga el código.
Cómo pueden ayudarte Microsoft y sus socios
20. DevOps reúne a personas, procesos y tecnología, automatizando la entrega de software para proporcionar valor continuo
a los usuarios. Con Azure DevOps, podes entregar software de forma más rápida y fiable, sin importar cuán grande sea tu
departamento de IT o qué herramientas estas utilizando.
Integracion Continua(CI) Deployment Continuo (CD) Aprendizaje automatico y metricas
• Combinando la integración continua
y la infraestructura como código (IaC),
logras implementaciones idénticas y
la confianza para desplegar en
producción en cualquier momento.
• Con la implementación continua,
podes automatizar todo el proceso
desde código hasta la aplicación
desplegada en producción.
• Con Azure Application Insights, podes
identificar cómo se encuentra la salud
de las aplicaciones.
• Con el uso de prácticas de CI/CD,
junto con herramientas de
monitorización, podrás ofrecer
características de vanguardia.
• Mejora calidad y velocidad en el
desarrollo de software
• Cuando utilizas Azure pipelines o
Jenkins para compilar aplicaciones en la
nube e implementarlas en Azure, cada
vez que confirmes el código, se
compilará y probará automáticamente,
detectando errores más rápidamente.
¿Qué tecnologías necesito para soportar DevOps?
21. DevOps en Microsoft
Data: Internal Microsoft engineering system activity, September 2018
372k
Pull Requests por mes
2m
Git commits por mes
78,000Despliegues por día
4.4m
Builds por mes
500m
Test executions por día
500k
Items de trabajo
actualizados por día
5m
Items de trabajo vistos
por día
Azure DevOps es la cadena de herramientas preferida para la ingeniería interna de Microsoft con más de 90.000 usuarios internos
https://aka.ms/DevOpsAtMicrosoft➔
22. #AzureDevOps
Continuous Deliverys es la etapa final
de una “Cadena Ágil"
Si la base de la cadena no esta bien
establecida, CD va a molestar mas que
ayudar
24. Introducción a Azure DevOps
Ofrece valor a tus usuarios más
rápidamente usando herramientas
ágiles probadas para planificar,
rastrear y discutir el trabajo en tus
equipos.
Compila, proba y implementa con CI/CD
aplicaciones que funcionen con cualquier
idioma, plataforma y nube. Conéctate a
GitHub o a cualquier otro proveedor de
Git e implementa de forma continua.
Obtene repositorios de Git privados
y alojados en la nube ilimitados y
colabora para crear un mejor código
con solicitudes de pull y
administración avanzada de
archivos.
Proba y envía con confianza
utilizando herramientas de prueba
manuales y exploratorias.
Crea, aloja y compartí paquetes con tus
equipos, y añadí artefactos a tus
canalizaciones de CI/CD con un solo clic.
Azure Boards Azure ReposAzure Pipelines
Azure Test Plans Azure Artifacts
https://azure.com/devops
➔
28. 2016
.NET Core 1.0
PowerShell Core
Windows Subsystem for
Linux in Windows 10
Microsoft joins
Linux Foundation
GitHub recognizes
Microsoft as a top open
source contributor
2017
Microsoft
Azure Kubernetes
Service launched
Draft, Brigade, Kashti
projects submitted to
Kubernetes community
Microsoft joins Cloud
Native Computing &
Cloud Foundry
Foundations
SQL 2017 on Linux
Windows source code
moved to Git
Azure Databricks
(Apache Spark)
announced
2012
Microsoft Open Source
2018
30. Cualquier lenguaje, cualquier plataforma
Compile, pruebe e implemente aplicaciones de Node.js,
Python, Java, PHP, Ruby, C/C++, .NET, iOS y Android.
Ejecute archivos en paralelo en Linux, macOS y Windows
Extensible
Explore e implemente una gran variedad de tareas
de compilación, pruebas e implementación creadas
por la comunidad, junto con cientos de extensiones,
desde Slack hasta SonarCloud.
Contenedores y Kubernetes
Compile e inserte fácilmente imágenes en registros de
contenedor, como Docker Hub y Azure Container
Registry. Implemente contenedores en hosts
individuales o Kubernetes.
Lo mejor para el código abierto
Asegure canalizaciones rápidas de integración y
entrega continuas(CI/CD) para todos los proyectos de
código abierto. Consiga 10 trabajos paralelos gratis con
minutos de compilación ilimitados para todos los
proyectos de código abierto.
https://azure.com/pipelines
Azure Pipelines
Pipelines en la nube para Linux, Windows y
macOS, con minutos ilimitados para open source
31. Azure Pipelines
Microsoft Open Source
Minutos de compilación gratuitos
ilimitados para proyectos públicos
Hasta 10 trabajos paralelos gratuitos
en Windows, Linux y macOS
https://azure.com/pipelines
32. Integrado con GitHub
Azure Pipelines disponible ahora
para cualquier desarrollador
desde el Marketplace de GitHub
33. Azure Boards
Conectado de la idea al lanzamiento
Controleelprogresodesusideasencadaetapadelprocesode
desarrolloymantengaasuequipoaldíadeloscambiosqueserealizan
enelcódigovinculadosdirectamenteaelementosdetrabajo
Preparado para usar Scrum
Use las herramientas de planeamiento y los paneles
Scrum integrados para ayudar a sus equipos a
ejecutar sprints y celebrar reuniones breves o de
planeamiento.
Creado para obtener conclusiones
Obtenga nuevas conclusiones sobre el estado y el
mantenimiento de sus proyectos con herramientas de
análisis y widgets de paneles muy eficaces.
https://azure.com/devops
Utilicepaneleskanban,trabajospendientes,panelesde
equipoeinformespersonalizados
34. Azure Repos
Compatibilidad con GIT
Conéctese de forma segura a un repositorio GIT y
envíe cambios desde cualquier IDE, editor o
cliente GIT.
Webhooks e integración de API
Agregue validaciones y extensiones de Marketplace
o cree las suyas propias usando webhooks y API de
REST.
Búsqueda de código semántica
Encuentre lo que busca con rapidez usando
funcionalidad de búsqueda para código que
reconoce las clases y las variables.
https://azure.com/devops
hospedaje ilimitado en repositorios GIT privados y compatibilidad
con TFVC, a una escala que abarca desde un proyecto de
pasatiempo hasta el repositorio más grande del mundo.
35. Azure Test Plans
Obtenga trazabilidad de extremo a extremo. Ejecute
pruebas y registre defectos desde su navegador. Rastree
y evalúe la calidad durante todo el ciclo de pruebas.
Capture datos completos
Capture información completa de la situación a
medida que ejecuta las pruebas para poder tomar
medidas con respecto a los defectos que se detectan.
Pruebe sus app web y de escritorio
Pruebe su aplicación donde este. Complete pruebas
con scripts en escenarios de escritorio o Web. Pruebe la
aplicación local desde la nube y viceversa.
Consiga rastreabilidad completa
Aproveche las mismas herramientas de prueba para
sus ingenieros y en las partes interesadas de las
pruebas de aceptación del usuario. Paga las
herramientas solo cuando las necesites.
https://azure.com/devops
36. Azure Artifacts
Cree y comparta fuentes de paquetes Maven, npm
y NuGet a partir de orígenes públicos y privados–
completamente integrado con CI/CD
Administre todo tipo de paquetes
Consiga administración de artefactos universal para
Maven, npm y NuGet.
Suma paquetes a cualquier pipeline
Comparta paquetes y utilice funcionalidad integrada de
CI/CD, control de versiones y pruebas.
Comparta código eficazmente
Comparta código fácilmente tanto en equipos
reducidos como en grandes empresas.
https://azure.com/devops
37. 1. El cliente viene
con un requisito.
2. Analistas de negocios /
Product owner trasladan el
requisito al backlog
5. El desarrollador finaliza el código,
envía el código para la solicitud de
extracción y colabora con el revisor
del código. Al completar la solicitud
de extracción y la revisión del código,
el desarrollador confirma el código
en los repositorios
3. El equipo de ingenieros empiezan
el Sprint y Capacity Planning
3.1 Equipo de Test , inicia
la planificación de pruebas
4. Desarrolladores seleccionan elementos
demorados / errores / de trabajo del Azure
Board y comienza el desarrollo
6. La compilacion se activa
después de cada code
commit en repos
7. Luego que compilación y
unit tests se ejecutan
correctamente, la salida de
compilación se implementa
en el entorno de destino
8. Se implementa la compilación, los testers
comienzan a probar y registran los defectos, si los
hay, en elementos de trabajo en el Azure Board/
9. Si las pruebas están satisfechas con
la compilación, la compilación se
promociona a entornos superiores
10. Los usuarios de
negocios comienzan a
probar en el entorno UAT
11. Cualquier defecto,
observacións se registra
en el Board / elementos
de trabajo.
12. Con la
satisfacción del
usuario, el Build
se promueve
para a
producción
cualquierpaqueteprivadodeNuGet,npm,Marvenpuedeguardarseaquíy
restaurarsedesdelafuentedeArtefactosmientrassedesarrollayconstruye
Informacióngeneralsobreelestadodelproyecto,eltrabajoenprogreso,el
estadodelacompilaciónenpanelesdeproyectos,wiki,etc.
7.1
9.1
12.1
39. Azure Monitor
Diagnósticos y análisis
avanzados impulsados por las
capacidades de aprendizaje
automático
Info. basada en datos
Rico ecosistema de herramientas
de DevOps, administración de
problemas, SIEM e ITSM
populares
Integración de Workflow
Una plataforma común
para todas las métricas,
registros y otras
telemetría de supervisión
Monitoreo unificado
Metrics Log
Common Store
Monitoreo total para sus aplicaciones, infraestructura y red
40.
41. Monitoreo Unificado
Integración en recursos blades nativos de
Azure
One Metrics, One Logs, One Alerts en todos
los recursos de Azure / on-prem
Capacidad para enviar métricas
personalizadas y registros personalizados
Oferta unificada con App Insights & log
Analytics como características integradas
42. Visibilidad completa del Stack en grupos de recursos
Saltar al mapa de APP o VMs
Monitorear el estado de salud de todos los
recursos.
Profundizar en fallos o problemas de
rendimiento
Ver alertas de las app & infra
43. Diagnosticar problemas de E2E con Application Insights
Seguimiento de transacciones distribuidas
E2E (incluyendo Python & go)
Supervise aplicaciones en .NET, JS, Java, node. js
o cualquier idioma con los SDK
Profundizar a nivel de código con Snapshot
Debugging & Profiling
Visualice conexiones de servidor/cliente y
dependencias con App Map
Comprender las cohortes, el comportamiento y
el compromiso del usuario final para la
planificación.
45. Conclusiones
Está claro por qué las empresas se están moviendo a DevOps
... pero ¿cómo puede la seguridad mantenerse al día con esto?
*Fuente: The Phoenix Project
47. Desafíos actuales – Seguridad de aplicaciones
Situación habitual en el desarrollo de aplicaciones
• Vemos que el enfoque actual es que la seguridad se contempla fuera del ciclo de
desarrollo de una aplicación.
• Inicialmente con pruebas que dependerán de la experiencia del equipo de desarrollo.
Posteriormente mediante tests de penetración o hacking ético, tratando de detectar
vulnerabilidades de manera interna o algunas veces externas
50. Secure SDLC (Security Agile)
▪ Actualizar el / los Modelos de Amenazas (on-going).
▪ Codificación Segura (e.g. Assertions).
▪ Pair programming con un especialista de seguridad.
▪ Pruebas de seguridad (incluyendo regresión).
▪ Integración y despliegues continuos validados como seguros
▪ Discutir los riesgos de seguridad activos.
▪ Re planificar las tareas de seguridad.
Threat
Modeling
Security Design
and Architecture
SDL
Transformation
SDL Tools
Integration
Staff
Augmentation
Secure Development
Training
53. Como resolvemos eso?
• SecDevOps
• Agile sSDLC
• Agile Security
• Rugged DevOps
• DevOps Security
Varios nombres para lo mismo:
“DevSecOps”
Development Security
Operations
54. CAMS la esencia de DevOps y DevSecOps
Culture
DevOps se trata de
romper las barreras entre
los equipos; sin cultura
otras prácticas fallan
Automation
A menudo se equivoca como DevOps,
pero un aspecto muy importante de
la iniciativa.C A
Measurement
Las actividades de medición en
CI/CD ayudan a tomar decisiones
informadas entre los equipos
Sharing
Compartir herramientas, mejores
prácticas, etc., entre los
equipos/organización mejora la
confianza para la colaboración.
M S
Valores principales de DevOps
55. Entonces que es DevSecOps?
• Nueva filosofía generada por la fusión de DevOps y SecOps.
• Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de
aplicaciones de una manera sistemática. Al igual que las DevOps, operaciones de
soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en gran
medida.
• El objetivo final es poder pasar a producción de manera automática una aplicación
razonablemente segura en cuestión de minutos. Considerando siempre que la
seguridad total no existe, lo que se minimiza es el riesgo.
56. #AzureDevOps
"El propósito e intención de
DevSecOps es construir sobre
la base de que 'todos son
responsables de la seguridad”
58. DevSecOps - Manifesto
Leaning in over Always Saying “No”
Data & Security Science over Fear, Uncertainty and Doubt
Open Contribution & Collaboration over Security-Only Requirements
Consumable Security Services with APIs over Mandated Security
Controls & Paperwork
Business Driven Security Scores over Rubber Stamp Security
Red & Blue Team Exploit Testing over Relying on Scans &
Theoretical Vulnerabilities
24x7 Proactive Security Monitoring over Reacting after being
Informed of an Incident
Shared Threat Intelligence over Keeping Info to Ourselves
Compliance Operations over Clipboards & Checklists
http://www.devsecops.org/
71. #AzureDevOps
“doblarse pero no romperse”
La forma de mitigar la
incapacidad de anticipar los
ataques de las nuevas
vulnerabilidades de día cero
72. DevSecOps | Técnicas y practicas
• Análisis estático
(SAST)
• Análisis interactivo
(IAST)
• Pruebas de casos de
abuso
• Revisión de código
• Romper el análisis del
código de compilación
• Modelado de amenazas – ítems
Backlog
• Analizar / predecir Backlog
• El diseño cumple con la política?
• Prueba de funciones de
seguridad
• Casos de abuso comunes
• Pen Testing (Buscar Vulnerabilidades)
• Validación de compliance (PCI, etc.)
• Fuzzing
• Si hacemos X ¿mitigará Y?
• Previsión de capacidad
• Aprendizaje -
Entrenamiento
• Validación de la configuración
• Características alternas /
configuración de tráfico
• Gestión de Claves Criptográficas
• Información de
registros para análisis
posterior
• Detección de intrusos
• Detección de ataques
• Restaurar / mantener el
servicio para uso sin
ataques
• RASP Responder
• Bloquear atacante
• Servicios de
apagado
• Análisis >> Aprendizaje
• Defecto / Incidente en 3 pasos
• Nueva superficie de ataque?
• Plan para actualizar el modelo de amenaza
78. ¿Por qué usar Secure DevOps Kit for Azure?
• Los ataques a las cuentas de usuarios basados en la nube han aumentado un
300% interanual (Microsoft Informe de inteligencia de seguridad, volumen 22)
• Un atacante está en la red de la víctima un promedio de 99 días antes de ser
detectado (informe FireEye / Mandiant - 14 de marzo de 2017)
• El costo promedio de una violación de datos en 2017 fue de 4 M $ (seguridad
de IBM)
79. ¿Por qué usar Secure DevOps Kit for Azure?
• La seguridad en la nube es difícil.
• El conocimiento de los controles de seguridad de Azure no está muy
extendido.
• MS IT quería acelerar la adopción interna de Azure en un forma controlada
• Enfoque: evitar reinventar la rueda.
• Utilice tantas funciones de Azure listas para usar como sea posible
• Por ejemplo: externalizar los controles de VM al Centro de seguridad
81. Secure DevOps Kit for Azure
El "Secure DevOps Kit for Azure" (denominado en lo sucesivo 'AzSK') es una
colección de scripts, herramientas, extensiones, automatizaciones, etc. que
se adaptan a las necesidades de seguridad de recursos y suscripción de
Azure para los equipos de desarrollo. utilizando una amplia automatización
e integrando sin problemas la seguridad en los flujos de trabajo de las
operaciones de desarrollo nativas para ayudar a lograr las operaciones de
desarrollo seguras con estas 6 áreas de enfoque:
82. Secure DevOps Kit for Azure
•Una suscripción segura a la nube proporciona una base fundamental sobre la cual se pueden llevar a cabo
actividades de desarrollo e implementación posteriores. Un equipo de ingeniería debe tener las capacidades
para implementar y configurar la seguridad en la suscripción, incluidos elementos tales como alertas,
políticas ARM, RBAC, políticas del Centro de seguridad, JEA, bloqueos de recursos, etc. Asimismo, debería ser
posible verificar que todas las configuraciones están en conformidad con una línea de base segura.
Secure the subscription:
•Durante las etapas de codificación y desarrollo temprano, los desarrolladores deben tener la capacidad de
escribir código seguro y probar la configuración segura de sus aplicaciones en la nube. Al igual que las
pruebas de verificación de construcción (BVT), presentamos el concepto de pruebas de verificación de
seguridad (SVT), que puede verificar la seguridad de varios tipos de recursos en Azure.
Enable secure development:
•La automatización de pruebas es un principio básico de los devops. Enfatizamos esto al proporcionar la
capacidad de ejecutar SVT como parte del canal de VSTS CICD. Estas SVT se pueden usar para garantizar que
la suscripción de destino utilizada para implementar una aplicación en la nube y los recursos de Azure sobre
los que se basa la aplicación se configuren de manera segura.
Integrate security into CICD:
83. Secure DevOps Kit for Azure
•En el entorno en constante cambio de las operaciones de desarrollo, es importante alejarse de la mentalidad
de la seguridad como un hito. Tenemos que tratar la seguridad como un estado que varía continuamente de
un sistema. Esto es posible gracias a las capacidades que permiten una seguridad continua utilizando una
combinación de runbooks de automatización, programaciones, etc.
Continuous Assurance:
•La visibilidad del estado de seguridad es importante para los equipos de aplicaciones individuales y también
para los equipos centrales de la empresa. Ofrecemos soluciones que satisfacen las necesidades de ambos.
Por otra parte, la solución extiende a través de todas las etapas de operaciones dev, en efecto, reduciendo la
brecha entre el dev equipo y el ops equipo desde un punto de vista de la seguridad a través de los puntos de
vista individuales, integrados que genera.
Alerting & Monitoring:
•Por último, todas las actividades del kit se basan en un marco de telemetría que genera eventos que
capturan el uso, la adopción, los resultados de la evaluación, etc. Esto nos permite realizar mejoras medidas
en áreas de focalización de seguridad de alto riesgo y uso máximo antes que otros.
Cloud Risk Governance:
84. El componente Subscription Security es un
paquete de scripts y programas que ayudan a
garantizar el aprovisionamiento, configuración y
administración seguros de una suscripción de
Azure. Con estas capacidades, puede configurar y
configurar una suscripción segura y compatible
desde el principio y tener una base sólida sobre la
cual desarrollar, implementar y ejecutar soluciones
seguras. También puede verificar la configuración
de suscripción para ver si varias configuraciones
cumplen con el nivel esperado.
1. Subscription Security
85. 1. Subscription Security
Las
herramientas
principales
incluyen:
Guión de verificación de salud. La secuencia de comandos de comprobación del estado de la suscripción ejecuta pasos
automatizados para examinar una suscripción y las condiciones de marca que indican que su suscripción puede estar en
riesgo debido a problemas de seguridad, configuraciones erróneas o configuraciones obsoletas.
Escritura de aprovisionamiento. El script de aprovisionamiento es un script maestro, que coordina varios componentes
más pequeños que trabajan juntos para aprovisionar un entorno de DevOps Kit. Estos componentes incluyen:
El control de acceso obligatorio basado en roles da cuenta de funciones importantes.
Alertas de alto nivel para eventos críticos o severos de seguridad.
Políticas de Azure Resource Manager que ayudan a asegurar acciones de otra manera inseguras.
Configuración de la política empresarial predeterminada para Azure Security Center.
Información de contacto de seguridad.
86. Los componentes de Secure Development
ayudan a garantizar que la seguridad se integre
en el proceso de desarrollo del día a día.
2. Secure Development
87. 2. Secure Development
Las
herramientas
principales
incluyen:
Pruebas de verificación de seguridad. Estas pruebas verifican automáticamente la mayoría
de los controles de seguridad incorporados para servicios comunes de Azure, como los
Servicios de aplicaciones, el Almacenamiento de Azure, la Base de datos SQL de Azure, el
Almacén de claves de Azure o las Máquinas virtuales de Azure.
Seguridad IntelliSense. Esta característica aumenta el IntelliSense tradicional con las
mejores prácticas de codificación segura y ofrece correcciones, sugerencias y pautas
mientras un desarrollador escribe el código. Las reglas de codificación seguras cubiertas
varían desde las API de la plataforma de Azure como servicio (PaaS) hasta las prácticas
tradicionales de seguridad y criptografía de aplicaciones web.
88. Las tareas de compilación / lanzamiento para
flujos de trabajo de CI / CD nos permiten verificar
la seguridad de las suscripciones y los recursos
durante los flujos automatizados de compilación /
despliegue. Estos flujos de trabajo integran la
cobertura de seguridad dentro del canal de CI /
CD de los Servicios de Visual Studio Team (VSTS)
a través de las extensiones de compilación /
lanzamiento de VSTS para las pruebas de
verificación de seguridad y otras herramientas de
seguridad.
3. Security in CI/CD
89. La seguridad continua evita la deriva del estado
de seguridad, ayuda a mantenerse actualizado
con las mejoras de las funciones de seguridad de
Azure. También alienta la adhesión a las mejores
prácticas de seguridad, como la rotación de claves
y la separación de tareas.
4. Continuous Assurance
90. 4. Continuous Assurance
Las
herramientas
principales
incluyen:
Libros de ejecución de Azure Automation que identifican y corrigen la deriva de la configuración
de seguridad.
Las plantillas de Azure Resource Manager se utilizan para implementar de manera segura los
recursos de Azure preconfigurados.
Un conjunto de scripts de PowerShell para crear la cuenta de automatización, aplicar las plantillas
e instalar y configurar los Runbooks.
91. La solución de alerta y monitoreo para el Kit
DevOps usa Operations Management Suite (OMS)
para ofrecer un tablero central donde los equipos
pueden ver el estado de seguridad y las
tendencias de sus suscripciones y aplicaciones de
Azure, según lo informado por los diferentes
componentes del kit. La solución de OMS se crea
a partir de una plantilla de Azure Resource
Manager que crea todos los componentes
necesarios para la supervisión del estado de
seguridad.
5. Alerting and Monitoring
92. 5. Alerting and Monitoring
Las
herramientas
principales
incluyen:
Vistas resumidas de tareas críticas que requieren atención inmediata.
Resultados de las exploraciones de aseguramiento continuo más recientes.
Resumen de la actividad reciente de control de acceso basada en roles (asignaciones de roles
importantes, revocación de acceso y otros).
Tendencias de diversas métricas de seguridad y actividad a lo largo del tiempo.
Consultas útiles comunes para alertas, y otras actividades.
Alertas preconfiguradas en OMS.
Runbooks para auto-curación cuando se activan ciertas alertas.
93. El kit Secure DevOps genera eventos de
telemetría desde todas las etapas que utilizan
automatización, scripts o extensiones. La
telemetría se enruta a una cuenta de Application
Insights, donde se procesa a través de trabajos
web que integran la información de mapeo de la
organización y luego se visualiza en un panel de
Power BI. La telemetría admite un enfoque
impulsado por datos para el desarrollo ágil y
DevOps al permitirnos tomar decisiones de
mejora de seguridad precisas y medidas de
manera continua.
6 .Security Telemetry
94. 6 .Security Telemetry
Las
herramientas
principales
incluyen:
Podemos ver la adopción y el uso del Kit DevOps en toda la empresa. Estas vistas nos dan una
imagen de la madurez segura de DevOps de la compañía en la nube.
Podemos ver los riesgos agregados relacionados con la nube en todas las líneas de servicio. La
agregación de fallas de control para diferentes tipos de recursos de la nube nos ayuda a
comprender qué áreas de uso de la nube están llevando a una mayor exposición al riesgo para la
empresa debido a la configuración vulnerable. Esta información se puede utilizar para apuntar a la
reducción del riesgo.
Obtenemos visibilidad de los errores y desafíos comunes que enfrentan los desarrolladores al
utilizar el kit. La información sobre errores y excepciones ayuda al equipo de Secure DevOps Kit a
mejorar las funciones y la experiencia del usuari
95. Alrededor del 50% de las suscripciones de Azure de Microsoft utilizan el kit de DevOps
seguro, lo que aporta las siguientes ventajas:
Procesos sencillos para
comprobar las soluciones
existentes
Reducción del tiempo y los costes
de desarrollo1 4
Comprobaciones de
seguridad más sencillas y
resolución de problemas
Mayor conciencia de la seguridad
en equipos de desarrollo
52
Transición más fácil a
Devops3
¿Por que usar Secure DevOps Kit at Microsoft?
96. Creación de aplicaciones de
alta seguridad para los
principales clientes
Moviendo las aplicaciones o
aplicaciones ya movidas a
Azure
1 4
Con el objetivo de reducir
los costos para garantizar
la seguridad
Siguiendo metodologías de
desarrollo ágil2 5
Buscando automatizar sus
procesos de desarrollo3
¿Por que usar Secure DevOps Kit at Microsoft?
101. Conclusiones (Brechas)
¡ Siempre asumamos las
existencia de la brecha!
Todo lo que hacemos en el
proceso es tratar de evitar
el incumplimiento
Ahora necesitamos explorar
nuevas técnicas
102. Conclusiones (Cambios)
No hay cambios en la
producción sin un pipeline
controlado
Valide su infraestructura,
configuración y seguridad
como código en todas las
suscripciones
103. Conclusiones (Shift Left)
Hagamos todas las
revisiones de seguridad
lo mas temprano posible
en el proceso de
desarrollo, no esperemos
hasta que movemos a
Prod
104. Conclusiones (Trazabilidad)
Todo es trazable
Debemos ser capaces siempre de
rastrear un cambio en su origen
Quién solicitó el cambio, Quién creó
el cambio, Quién aprobó el cambio
etc…